open search
close
Datenschutz

Datenschutz-Folgenabschätzung, Teil 2: Empfehlungen für die praktische Durchführung

Print Friendly, PDF & Email

Im ersten Teil zur Datenschutz-Folgenabschätzung auf unserem Blog vom 07.05.2018 haben wir dargestellt, wann eine Datenschutz-Folgenabschätzung (im Folgenden: Folgenabschätzung) erforderlich ist. In diesem Blog Beitrag geben wir Ihnen nun praktische Empfehlungen dazu, wie die Datenschutz-Folgenabschätzung im einzelnen durchgeführt und sodann dokumentiert werden sollte. Ferner geben wir Empfehlungen dazu, wie im Falle eines verbleibenden hohen Restrisikos die Konsultation bei der zuständigen Aufsichtsbehörde durchzuführen ist.

Gesetzlicher Mindestinhalt sowie weitere nützliche Anleitungen

Ausgangspunkt für den erforderlichen Mindestinhalt nach der neuen Rechtslage ist Artikel 35 Abs. 7 DS-GVO. Wie bei allen Artikeln der DS-GVO finden sich in den Erwägungsgründen (EG), die Teil der DS-GVO sind, ergänzende Angaben und Auslegungshilfen, die Teil des anwendbaren Rechts sind. So gibt etwa EG 75 nähere Angaben dazu, was unter einem Risiko zu verstehen ist. EG 76 betrifft die Eintrittswahrscheinlichkeit sowie die Schwere des Risikos, welche für die Folgenabschätzung jeweils zu prüfen sind. EG 92 und 93 enthalten ergänzende Angaben zur Durchführung der DS-GVO. EG 94, 95 und 96 betreffen sodann das Konsultationsverfahren bei der Behörde.

Ergänzende, hilfreiche Angaben finden sich ferner in Kurzpapier Nr. 5, welches Teil der von den Aufsichtsbehörden aller Bundesländer gemeinsam verabschiedeten Kurzpapiere zur DS-GVO ist. Weitere, sehr konkrete und durchaus lesenswerte Angaben und Mustertexte finden sich auf den Webseiten der französischen Datenschutzbehörde CNIL (dort PIA, Privacy Impact Assessment genannt) und der englischen Datenschutzbehörde ICO.


Die Durchführung im Einzelnen: Inhalte

  • Erforderlichkeit einer Folgenabschätzung

Es empfiehlt sich ein einleitender Absatz dazu, was die Folgenabschätzung erreichen soll, und wieso der Arbeitgeber davon ausgeht, dass eine Folgenabschätzung erforderlich sein dürfte. Hier könnte beispielsweise, etwa im Falle der Verwendung von Überwachungskameras oder von Zeiterfassungssoftware, auf die in Teil 1 (Blog vom 07.05.2018) zitierten und beschriebenen Veröffentlichungen der belgischen und der polnischen Datenschutzbehörde verwiesen werden.

  • Systematische Beschreibung der geplanten Bearbeitungsvorgänge sowie der Zwecke

Im Rahmen der Beschreibung sollte möglichst ausführlich dargestellt werden, wie der Arbeitgeber Daten erfasst, verwendet, sammelt und sodann löscht. Hilfreich sind Angaben zu den Quellen der Daten sowie zu möglichen weiteren Empfängern. An dieser Stelle ist es hilfreich, interne, anonymisierte Unterlagen sowie Diagramme oder sonstige Unterlagen zur Veranschaulichung beizufügen. Sofern die Verarbeitung auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 f. DS-GVO erfolgt, ist dieses zu beschreiben.

Zu beschreiben sind auch Art und Umfang der verarbeiteten Daten sowie die Häufigkeit der Datenverarbeitung, und wie viele Arbeitnehmer oder sonstige Datensubjekte (Kunden/Besucher z. B.) davon betroffen sind. Ebenso sind Angaben dazu zu machen, welches der Erwartungshorizont der betroffenen Individuen, insbesondere der Arbeitnehmer ist, ob sie dieser Art der Datenverarbeitung erwarten und ob sie hierüber Kontrolle haben. Bei ungewöhnlichen oder neuen Verfahren oder besonders risikointensiven Verfahren sind auch hierzu Angaben zu machen. Schließlich ist auch das Ziel der Verarbeitung zu beschreiben.

  • Konsultationsverfahren

Zu beschreiben ist, inwieweit im Falle von Arbeitnehmern eine Beratung mit den betroffenen Individuen, oder deren Vertretung durch Konzern-/Gesamt-/Betriebsrat stattgefunden hat. Beschrieben werden sollte ferner, welche weiteren fachkundigen Akteure innerhalb des Arbeitgeberunternehmens involviert waren, Datenschutzbeauftragter, externe Berater.

  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

Zu prüfen ist, ob die beschriebenen Verarbeitungsvorgänge tatsächlich für den beschriebenen Zweck erforderlich, also zielführend sind, ferner ob sie verhältnismäßig sind, oder ob es weniger invasive Alternativen gibt.

  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

Hier empfiehlt sich ein Brainstorming-Prozess mit allen internen und externen Experten zur Identifizierung von und sodann Prüfung daraus resultierender Risiken. Diese Risiken sollten untergliedert nach Eintrittswahrscheinlichkeit einerseits und etwaiger Schadenshöhe andererseits geprüft werden.

  • Abhilfemaßnahmen

In einem nächsten Schritt sollten in Bezug auf das identifizierte Risiko Abhilfemaßnahmen geprüft werden. Hierunter sind vor allem technische und organisatorische Maßnahmen zu verstehen. Dabei ist darzustellen, wie die zuvor identifizierten Risiken hierdurch jeweils konkret minimiert oder beseitigt werden können. Ist dies nicht möglich, verbleibt ein Restrisiko, das als hoch, mittel oder gering einzustufen ist.

Dokumentation

Wichtig ist eine gründliche Dokumentation aller Erwägungen zu den soeben beschrittenen Prüfschritten sowie zu deren Umsetzung. Einmal erwogene Abhilfemaßnahmen sollen zunächst in ihrer Wirksamkeit geprüft werden, bevor sie bestätigt und final in die Folgenabschätzung eingefügt werden können. Schließlich sind auch die Stellungnahmen der verantwortlichen Entscheider innerhalb des Arbeitgeberunternehmens sowie auch des Datenschutzbeauftragten in der Dokumentation festzuhalten.

Die Folgenabschätzung ist kein einmaliger Prozess. Wenn sich Rahmenumstände verändern, ist sie erneut durchzuführen.

Konsultationsverfahren mit der Behörde

Wenn das Ergebnis des letzten soeben beschriebenen Prüfungsschrittes ist, dass die geplanten und ersichtlichen Abhilfemaßnahmen nicht ausreichen, um die identifizierten Risiken zu minimieren, sodass „die Verarbeitung ein hohes (Rest)Risiko zur Folge hätte“, so ist die zuständige Aufsichtsbehörde zu konsultieren. Das Konsultationsverfahren ist in Art. 36 DS-GVO beschrieben. Wichtig ist es, dass die Behörde mit sorgfältig vorbereiteten Unterlagen kontaktiert wird, bei denen sich die Möglichkeit für Rückfragen auf essentielle Rechtsfragen beschränkt.

Spannend ist hierbei auch in der anwaltlichen Beratung die Frage, wann von einem hohen Restrisiko auszugehen ist. Die Datenschutzaufsichtsbehörden haben naturgemäß kein Interesse daran, bei wenig risikoreichen Verarbeitungsprozessen konsultiert zu werden. Auf der anderen Seite trägt das prüfende Arbeitgeberunternehmen sowie der etwaige externe Berater das Risiko dafür, das Risiko zu leichtfertig nicht als hoch einzuschätzen. Hier muss insbesondere bei datenintensiven Verfahren eine sorgfältige Abwägung der Risiken und der Techniken zu ihrer Minimierung stattfinden.

Da die Übergangsfrist nun vorüber ist und die DS-GVO nun unmittelbare Anwendung findet, können Anträge auf Durchführung einer Konsultation bei den jeweils örtlich zuständigen Aufsichtsbehörden jetzt eingereicht werden, die sodann innerhalb einer Frist von einem  Monat bzw. im Falle einer Verlängerung zwei Monaten zu bescheiden sind. Denkbare Reaktionen der Behörde sind neben Empfehlungen und Anweisungen auch die Untersagung der beabsichtigten Verarbeitung.

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Geschäftsführer-Haftung nach der DS-GVO?

Urteile über Schadensersatzansprüche nach der DS-GVO erfreuen sich großer Aufmerksamkeit. Die potentielle Höhe dieser Ansprüche sowie der bisweilen geforderte „abschreckende Charakter“ tragen hierzu bei. Nun hat das OLG Dresden einen weiteren Grund geliefert: Nach einem aktuellen Urteil (30.11.2021 – 4 U 1158/21) haften die Organe von Gesellschaften neben der Gesellschaft als Gesamtschuldner. Setzt sich diese Auffassung durch, kann dies erhebliche praktische Auswirkungen haben. Ausgangsfall und…
Betriebsratswahl 2022 Neueste Beiträge

Betriebsratswahl: Welche Vorgaben macht eigentlich der Datenschutz?

Für die Durchführung der Betriebsratswahl ist der Betriebsrat, genauer der Wahlvorstand, verantwortlich. Unterstützung erfährt er hierbei durch den Arbeitgeber. Um die Wählerliste und Vorschlaglisten zu erstellen, sind verschiedene Personaldaten nötig. Doch welche Informationen muss der Arbeitgeber eigentlich herausgeben? Was für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Betriebsratswahl gilt und welche Vorgaben aus der DS-GVO und dem BDSG darüber hinaus zu berücksichtigen sind, lesen…
Neueste Beiträge

Herausgabe einer Kopie personenbezogener Daten … Was jetzt genau?

Ein Antrag auf Zurverfügungstellung einer Kopie personenbezogener Daten ist im arbeitsgerichtlichen Verfahren nur berücksichtigungsfähig, wenn dieser hinreichend bestimmt ist. Dies hat das Bundesarbeitsgericht in einer aktuellen Entscheidung herausgestellt. Der Umfang des datenschutzrechtlichen Auskunftsrechts nach Art. 15 DSGVO gerät zunehmend in den Blickpunkt der Arbeitsgerichte. Dies ist nicht verwunderlich. So nutzen etliche Arbeitnehmer den Anspruch – insbesondere auf Zurverfügungstellung einer Kopie der von ihnen verarbeiteten personenbezogenen…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.