EU-Datenschutz-Grundverordnung (DSGVO): Datenschutz-Folgenabschätzung und vorherige Konsultation
Voraussetzungen für die Risiko-Folgenabschätzung
Lesedauer: 9 Minuten
Die DSGVO sieht bei der Datenverarbeitung keine Vorabkontrollen oder Meldungen an eine Behörde oder ein Register vor. Verantwortliche sind verpflichtet, in Eigenregie (bei Einsatz eines Auftragsverarbeiters hat dieser Unterstützung zu gewähren) eine Evaluierung von Datenverarbeitungen durchzuführen. Damit sollen die Auswirkungen und Risiken der Datenverarbeitungen (nach einer allgemeinen Risikoabschätzung) für die Rechte (z.B. das Datengeheimnis, die Datenschutzgrundsätze sowie die Betroffenenrechte) und Freiheiten (Grundrechte wie etwa die Meinungsfreiheit) der Betroffenen analysiert und die Folgen der vorgesehenen Datenverarbeitungen für den Datenschutz abgeschätzt und geeignete Abhilfemaßnahmen ergriffen werden. Diese „Selbstevaluierung“ bezeichnet die DSGVO als Datenschutz-Folgenabschätzung.
Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Die DSGVO bestimmt, dass eine Datenschutz-Folgenabschätzung insbesondere dann zu erfolgen hat, wenn etwa neue Technologien verwendet werden oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
Beispiele: Kombination aus Fingerabdruck- und Gesichtserkennung für verbesserte Zugangskontrollen; Abgleichen oder Zusammenführen von Datensätzen in einer Weise, die für den Betroffenen vernünftigerweise nicht erwartet werden können, wie etwa das Erfassen öffentlich zugänglicher Daten aus sozialen Netzwerken zum Zweck der Profilerstellung.
Tipp: Verwenden Sie unseren Online-Ratgeber zur Beurteilung, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.
Die DSGVO führt selbst konkret folgende weitere beispielhafte Fälle an, in denen ein hohes Risiko besteht:
systematische und umfassende Bewertung persönlicher Aspekte, die insbesondere die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interesse, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel natürlicher Personen betreffen, auf Basis automatisierter Verarbeitung: Hiermit sind vor allem Profiling-Maßnahmen angesprochen, die als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen können, z.B. bei der Frage, ob einer natürlicher Person ein Kredit gewährt wird oder nicht,
bei einer umfangreichen Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten,
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche: z.B. mittels Videoüberwachung.
Unter „systematisch“ kann nach der ehemaligen Art 29-Gruppe (seit 25.5.2018 „Europäischer Datenschutzausschuss“) verstanden werden:
- eine Verarbeitung findet im Rahmen eines Systems statt
- die Verarbeitung erfolgt organisiert und methodisch und ist vorab festgelegt.
Für die Auslegung des Begriffs „umfassend“ können nach der ehemaligen Art 29-Gruppe folgende Anhaltspunkte herangezogen werden:
- die Zahl der Betroffenen (entweder als konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe)
- die verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente
- die Dauer oder Dauerhaftigkeit der Datenverarbeitung
- das geografische Ausmaß der Datenverarbeitung
Unter „Überwachung“ kann nach den Leitlinien der ehemaligen Art 29-Gruppe das Ziel verstanden werden, dass die betroffene Person beobachtet oder kontrolliert werden sollen.
Die ehemalige Art 29-Gruppe hat neun Kriterien entwickelt, die bei der Prüfung, ob eine (beabsichtigte) Datenverarbeitung wahrscheinlich ein hohes Risiko mit sich bringt, berücksichtigt werden müssen. Werden zwei dieser Kriterien erfüllt, wird in den meisten Fällen ein hohes Risiko angenommen und eine Datenschutz-Folgenabschätzung durchgeführt werden müssen.
Die Datenschutzbehörde hat Listen zu erstellen, die weitere, konkrete Verarbeitungsvorgänge aufzählen, bei denen auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen (sog. „black list“) ist bzw. kann sie Listen für Fälle erstellen, in denen keine Datenschutz-Folgenabschätzung erforderlich ist (sog. „white list“). Die Datenschutzbehörde hat in Form einer Verordnung sowohl eine „white list“ als auch eine „black list“ erstellt
Tipp: Der konkrete Verordnungstext zur „black list“.
Ob die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung vorliegen, obliegt der Beurteilung des Verantwortlichen selbst. Hat der Verantwortliche einen Datenschutzbeauftragten bestellt, muss er diesen bei der Durchführung der Datenschutz-Folgenabschätzung zu Rate ziehen.
Liegt ein Ansatzpunkt für eine verpflichtende Durchführung einer Datenschutz-Folgenabschätzung vor (vgl obige Aufzählungen), hat der Verantwortliche die Datenschutz-Folgenabschätzung vor der Aufnahme der Datenverarbeitung durchzuführen.
Keine Datenschutz-Folgenabschätzung ist grundsätzlich durchzuführen:
Achtung: Die folgenden Punkte können einen Ansatz bieten. Trotzdem ist auch bei diesen Sachverhalten konkret und einzelfallbezogen zu prüfen, ob im konkreten Anlassfall nicht doch ein hohes Risiko besteht und deshalb eine Datenschutz-Folgenabschätzung durchzuführen ist.
- Wenn die Verarbeitung wahrscheinlich kein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt.
- Wenn sich die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von denen einer anderen Verarbeitung, für die bereits eine Datenschutz-Folgenabschätzung durchgeführt wurde, nur in geringem Maße unterscheidet.
- Wenn bestehende Verarbeitungsvorgänge vor dem 25. Mai 2018 bereits von der Datenschutzbehörde geprüft worden sind (etwa im Rahmen einer Vorabkontrolle nach dem Datenschutzgesetz 2000) und die Verarbeitungsvorgänge sich seit dieser Prüfung nicht geändert haben.
- Falls ein Verarbeitungsvorgang auf der Rechtsgrundlage „gesetzliche Verpflichtung“ oder „Wahrnehmung einer Aufgabe im öffentlichen Interesse“ beruht und falls im Rahmen der Schaffung der Rechtsgrundlage schon eine Datenschutz-Folgenabschätzung erfolgte (im Gesetz oder in einer Verordnung selbst bzw in den Materialien).
- Falls der Verarbeitungsvorgang auf der „white list“ der Datenschutzbehörde steht. Nach der Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (kurz: DSFA-AV oder einfach: „white list“-Verordnung) sind folgende Datenverarbeitungstätigkeiten von einer verpflichtenden Durchführung einer Datenschutz-Folgenabschätzung ausgenommen:
- Kundenverwaltungen, Rechnungswesen, Logistik und Buchführung
- Personalverwaltung
- Mitgliederverwaltung (z.B. bei Vereinen)
- Kundenbetreuung und Marketing für eigene Zwecke
- Sach- und Inventarverwaltung
- Register, Evidenzen, Bücher
- Zugriffsverwaltung für EDV-Systeme
- Zutrittskontrollsysteme
- Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
- Bild- und Akustikdatenverarbeitung in Echtzeit
- Bild- und Akustikverarbeitungen zu Dokumentationszwecken
- Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnungen einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken
- Rechts- und Beratungsberufe
- Archivierung, wissenschaftliche Forschung und Statistik
- Unterstützungsbekundungen
- Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
- Öffentliche Abgabenverwaltung
- Förderverwaltung
- Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
- Aktenverwaltung (Büroautomation) und Verfahrensführung
- Organisation von Veranstaltungen
- Preise und Ehrungen
Achtung: Die „white list“-Verordnung enthält in ihrem Anhang eine genaue Beschreibung des jeweiligen Zwecks der Datenverarbeitung. Nur innerhalb dieses Zwecks entfällt bei der jeweiligen Verarbeitungstätigkeit die Datenschutz-Folgenabschätzung.
Weitere nach der „white-list“-Verordnung von einer verpflichtenden Datenschutz-Folgenabschätzung ausgenommene Datenverarbeitungsvorgänge sind:
- Datenanwendungen, die nach dem DSG 2000 einer Vorabkontrolle unterlagen und vor dem 24.5.2018 im Datenverarbeitungsregister registriert wurden (zB Informationsverbundsysteme, Datenverarbeitungen zum Zweck der Auskunftserteilung über die Kreditwürdigkeit von Betroffenen, die Datenverarbeitung sensibler oder strafrechtlich relevanter Daten sowie die Videoüberwachung ohne Verschlüsselung bzw. mit Verschlüsselung, aber ohne Hinterlegung des einzigen Schlüssels bei der Datenschutzbehörde)
- nicht meldepflichtige Datenanwendungen gem. § 17 Abs 2 Z 6 DSG 2000 (das sind die Standardanwendungen nach der mit Ablauf des 24.5.2018 außer Kraft getretenen Standard- und Muster-Verordnung 2004).
Die beiden zuletzt genannten Ausnahmen bestehen nur, sofern diese Datenanwendungen mit Ablauf des 24.5.2018 den Vorgaben der DSGVO entsprechen und ab Inkrafttreten der „white-list“-Verordnung (25.5.2018) keine wesentlichen Änderungen vorgenommen wurden.
Tipp: Verwenden Sie unseren elektronischen Ratgeber zur Beurteilung, ob eine Datenschutz-Folgenabschätzung durchzuführen ist.
Was muss die Datenschutz-Folgenabschätzung umfassen?
Die Datenschutz-Folgenabschätzung muss zumindest Folgendes enthalten:
Tipp: Die ehemalige Art 29-Gruppe hat Kriterien entwickelt, anhand derer ermittelt werden kann, ob eine Datenschutz-Folgenabschätzung oder eine Methodik zur Durchführung der Datenschutz-Folgenabschätzung umfassend genug ist, um den Vorgaben der DSGVO zu entsprechen. Auch wenn diese Kriterien von dem europäischen Datenschutzgremium lediglich empfohlen wird, ist es ratsam sich an diesen Kriterien zu orientieren.
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge;
Überprüfungskriterien für die Beschreibung:- die Art, der Umfang, die Umstände der Datenverarbeitung wurden in der Dokumentation festgehalten
- die personenbezogenen Daten, die Empfänger und die Speicherfrist sind berücksichtigt
- eine funktionale Beschreibung der Verarbeitungsvorgänge ist enthalten
- die Wirtschaftsgüter, auf die sich die personenbezogenen Daten stützen (Hardware, Software, Netzwerke, Personen, Papiere oder Übertragungsmedien für Papier, wie etwa USB-Sticks) werden beschrieben
- wenn genehmigte Verhaltensregeln bestehen, muss das Einhaltungsprozedere in der Dokumentation berücksichtigt werden,
- die Beschreibung der Verarbeitungszwecke (beruft sich der Verantwortliche allenfalls auf die Rechtmäßigkeitsgrundlage des „berechtigten Interesses“, muss er auch bei der Folgenabschätzung dieses berechtigte Interesse beschreiben),
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den verfolgten Zweck: So muss etwa bewertet werden, ob die Datenverarbeitung für die Zweckerreichung unumgänglich ist oder ob es nicht gelindere Maßnahmen zur Zweckerreichung gibt,
Überprüfungskriterien für die Bewertung:- die Datenverarbeitung erfolgt nur für festgelegte, eindeutige und legitime Zwecke
- es liegt eine Rechtmäßigkeitsgrundlage für die Verarbeitung vor
- die Datenverarbeitung ist für den Zweck erheblich und angemessen sowie auf das notwendige Maß beschränkt
- es wurden Maßnahmen für die Erfüllung der Betroffenenrechte ergriffen (Informationspflichten, Auskunftsrecht, Recht auf Datenübertragbarkeit, Berichtigungs- und Löschungsrecht, Widerspruchsrecht und Recht auf Verarbeitungseinschränkung), das Verhältnis zu Auftragsverarbeitern ist durch einen Vertrag mit dem erforderlichen Inhalt geregelt und es wurden auch nur „zuverlässige“ Auftragsverarbeiter beauftragt, in Bezug auf den internationalen Datenverkehr werden „Garantien“ eingehalten)
- Bewertung, ob eine vorherige Konsultation der Datenschutzbehörde erforderlich ist, weil trotz ergriffener/beabsichtigter Maßnahmen weiterhin ein hohes Risiko besteht/bestehen wird
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen: Betroffenenrechte wie beispielsweise das Geheimhaltungs-, das Auskunfts-, Löschungs- oder Widerspruchsrecht; weiters die allgemeinen Grundprinzipien wie etwa der Zweckmäßigkeitsgrundsatz, die Transparenz oder die Datenminimierung, oder die Datensicherheit (Verfügbarkeit, Integrität, Vertraulichkeit),
Überprüfungskriterien für die Bewertung:- Ursache, Art, Besonderheit und Schwere der Risiken wurden aus Sicht des Betroffenen für jedes in Erwägung zu ziehende Risiko bewertet (unrechtmäßiger Datenzugriff, unerwünschte Änderung und Verschwinden von Daten, Wiederherstellungsmöglichkeit bei Zerstörung der Daten)
- Risikoquellen wurden berücksichtigt
- potentielle Auswirkungen auf die Rechte und Freiheiten von Betroffenen wurden ermittelt, die bei Ereignissen wie etwa einem unrechtmäßigen Datenzugriff, einer unerwünschten Änderung oder dem Verschwinden von Daten bestehen könnten
- die Bedrohungen wurden ermittelt, die einen unrechtmäßigen Datenzugriff, eine unerwünschte Änderung oder das Verschwinden von Daten nach sich ziehen könnten
- die Eintrittswahrscheinlichkeit und die Schwere der Risiken wurden bewertet
- Maßnahmen zur Bewältigung der eruierten Risiken wurden ermittelt
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Datenschutz sichergestellt wird: z.B. Pseudonymisierungs- oder Anonymisierungsmaßnahmen, organisatorische oder personelle Maßnahmen wie etwa Zutritts- oder Zugangsbeschränkungen oder Verschlüsselungen. Bestehen von Unternehmensverbänden Verhaltensregeln, die von der Datenschutzbehörde genehmigt wurden, und hält sich der Verantwortliche auch an diese, können die Verhaltensregeln bei der Risikobewertung bzw. bei der Bewertung der geplanten Abhilfemaßnahmen gebührend berücksichtigt werden; gleiches gilt für Zertifizierungen oder verbindliche interne Datenschutzvorschriften („binding corporate rules“) bei Unternehmensgruppen (Konzernen),
- die vom Datenschutzbeauftragten erteilten Empfehlungen und die dazu getroffenen Entscheidungen,
- den Standpunkt der Betroffenen bzw. deren Vertreter: wird der Standpunkt der Betroffenen bzw. ihrer Vertreter nicht eingeholt, muss nach Ansicht der ehemaligen Art 29-Gruppe dies begründet werden (etwa wegen Unverhältnismäßigkeit, Impraktikabilität, Geheimhaltungspflichten bzgl. Geschäftsplänen des Unternehmens, die verletzt werden könnten,
- ebenso muss begründet werden, wenn die endgültige Entscheidung des Verantwortlichen vom Standpunkt der Betroffenen oder ihrer Vertreter abweicht.
Tipp: Beachten Sie unsere Informationen zu den Prüfschritten bei der Datenschutz-Folgenabschätzung.
Vorherige Konsultation der Datenschutzbehörde
Sollte auf Basis der Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person festgestellt werden und kann der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos treffen, hat er vor der Verarbeitung die Datenschutzbehörde zu konsultieren. Diese kann dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraumes von bis zu 8 Wochen nach Erhalt des Konsultationsersuchens schriftliche Empfehlungen erteilen. Sollte der beabsichtigte Datenverarbeitungsvorgang eine entsprechende Komplexität aufweisen, kann diese Frist um 6 Wochen verlängert werden. Der Verantwortliche oder gegebenenfalls der Auftragsverarbeiter sind über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Konsultationsersuchens von der Datenschutzbehörde zu informieren.
Dem Konsultationsersuchen sind nachfolgende Informationen beizulegen:
- Angaben zu den Zuständigkeiten des Verantwortlichen (z.B. rechtliche Befugnisse aufgrund einer Berufsberechtigung wie etwa einer Gewerbeberechtigung), der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen,
- die Zwecke und die Mittel der beabsichtigten Verarbeitung,
- die zum Schutz der Rechte und der Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien,
- sollte ein betrieblicher Datenschutzbeauftragter bestellt worden sein, sind dessen Kontaktdaten anzugeben,
- die Ausführungen zur Datenschutz-Folgenabschätzung und
- allenfalls von der Aufsichtsbehörde selbst angeforderte Informationen.
Geldstrafen
Die Missachtung der Verpflichtung zur Datenschutz-Folgenabschätzung und zur vorherigen Konsultation ist mit bis zu 10 Mio EUR oder 2% des letztjährigen weltweiten Jahresumsatzes sanktioniert.
Leitlinien der ehemaligen Artikel 29-Gruppe
Die ehemalige Art 29-Gruppe (seit 25.5.2018 „Europäischer Datenschutzausschuss“) ist ein europäisches Datenschutzgremium, dem die Leiter der nationalen Datenschutzbehörden bzw. deren Vertreter angehören. Diese Gruppe verfasst und beschließt u.a. Leitlinien für die Umsetzung der DSGVO, um eine möglichst einheitliche Anwendung der DSGVO in der EU zu gewährleisten. Auch wenn diese Leitlinien „lediglich“ empfehlenden Charakter aufweisen, haben sie in der Praxis eine große Bedeutung, weshalb sich deren Berücksichtigung empfiehlt.
» Die Leitlinie zur Datenschutz-Folgenabschätzung WP 248 Rev. 014
Relevante Artikel der DSGVO: Art 5, Art 35-36
Relevante Erwägungsgründe: 84, 89-96
Relevante Bestimmungen des DSG: § 4
Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV)
Stand: 07.08.2024