Bild EU-Leistungsschutzrecht

DSGVO: Aufsichtsbehörden veröffentlichen bundesweit einheitliche Muss-Liste für Datenschutzfolgeabschätzung – Checkliste

39

Die Kanzlei Heuking Kühn Lüer Wojtek versendete am 09.08.2018 im Namen von Dr. Philip Kempermann, LL.M., Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek und Mitglied der Praxisgruppe IP, Media & Technology, einen Newsletter zur DSGVO mit folgendem Text:

DSGVO: Um was geht es genau?

„Artikel 35 DSGVO sieht vor, dass Unternehmen eine sog. Datenschutzfolgeabschätzung vornehmen müssen, wenn die Verarbeitung „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“, Art. 35 Abs. 1 Satz 1 DSGVO. Das Unternehmen muss dann den Verarbeitungsprozess dokumentieren, die Risiken für die Rechte und Freiheiten der natürlichen Personen identifizieren und darstellen, welche Abhilfemaßnahmen das Unternehmen trifft. Wenn Abhilfemaßnahmen nicht möglich sind, muss das Unternehmen vor Beginn der Verarbeitung die Aufsichtsbehörden konsultieren. Nach Auffassung der Aufsichtsbehörden liegt ein hohes Risiko dann vor, wenn eine hohe Eintrittswahrscheinlichkeit eines Schadens vorliegt und der Schaden gravierende Ausmaße annehmen kann.“

Anmerkung der Redaktion: aus 14 Listen der 16 Bundensländer wird nun eine einzige

„Da die Voraussetzungen für eine Datenschutzfolgeabschätzung sehr unbestimmt sind, sieht Art. 35 Abs. 4 DSGVO vor, dass die Aufsichtsbehörden eine Liste erstellen können, in welchen Fällen Unternehmen immer eine Datenschutzfolgeabschätzung vornehmen müssen. Im Frühsommer 2018 sorgten die 17 deutschen Aufsichtsbehörden etwas für Aufsehen, indem sie insgesamt 14 unterschiedliche solche Muss-Listen veröffentlichten, so dass Unternehmen sehr genau recherchieren mussten, was für sie gilt.

Diese missliche Situation haben die Aufsichtsbehörden nun bereinigt, indem die Datenschutzkonferenz am 25. Juli 2018 eine einheitliche Liste veröffentlichte.

Die Liste umfasst 16 verschiedene Fälle, in denen eine Datenschutzfolgeabschätzung stets durchzuführen ist. Die Liste umfasst grobe Beschreibungen der jeweiligen Verarbeitungen, typische Einsatzfälle und Beispiele für die entsprechenden Muss-Fälle. Darunter fallen die Verarbeitung von großen Mengen an Daten, die Berufs- oder anderen Geheimnissen unterliegen, Geolokalisierungsdaten, Scoring-Systeme, bestimmte Überwachungssysteme im Arbeitnehmerumfeld, soziale Netzwerke und Datingplattformen, Big Data-Anwendungsfälle, in bestimmten Fällen die Verwendung künstlicher Intelligenz, Tracking von Personen im Offline-Bereich, der Einsatz von RFID- und NFC-Technologien in bestimmten Fällen, teilweise auch Kundenbindungssysteme, Telemedizin oder bestimmte Anwendungsgebiete von Fitnesstrackern.

Die große Bandbreite der Pflichtanwendungsfälle für eine Datenschutzfolgeabschätzung führt dazu, dass sich Unternehmen dringend damit auseinandersetzen müssen, ob ihre Verarbeitung personenbezogener Daten einem der Muss-Fälle entspricht. Wenn das der Fall ist und keine Datenschutzfolgeabschätzung gemacht wird, besteht das Risiko eines Bußgeldes in Höhe von bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes.

Die Durchführung einer Datenschutzfolgeabschätzung hat aber auch noch eine weitere Konsequenz:

Selbst wenn das Unternehmen bisher nicht gemäß Art. 37 DSGVO, § 38 Abs. 1 Satz 1 BDSG zur Bestellung eines Datenschutzbeauftragten verpflichtet war, etwa weil es weniger als zehn Beschäftigte hat, ergibt sich gemäß § 38 Abs. 1 Satz 2 BDSG die Pflicht zur Bestellung eines Datenschutzbeauftragten auch dann, wenn eine Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO durchgeführt werden muss. Daher ist die nun veröffentlichte Muss-Liste der Datenschutzkonferenz ein weiterer Indikator, wann ein Datenschutzbeauftragter bestellt werden muss. “

Weitere Infos der Kanzlei zum Thema können Sie unter dem Link abrufen bzw. erhalten.

Weitere Infos zur DSGVO finden Sie hier.