open search
close
Datenschutz

Datenschutz-Folgenabschätzung, Teil 2: Empfehlungen für die praktische Durchführung

Print Friendly, PDF & Email

Im ersten Teil zur Datenschutz-Folgenabschätzung auf unserem Blog vom 07.05.2018 haben wir dargestellt, wann eine Datenschutz-Folgenabschätzung (im Folgenden: Folgenabschätzung) erforderlich ist. In diesem Blog Beitrag geben wir Ihnen nun praktische Empfehlungen dazu, wie die Datenschutz-Folgenabschätzung im einzelnen durchgeführt und sodann dokumentiert werden sollte. Ferner geben wir Empfehlungen dazu, wie im Falle eines verbleibenden hohen Restrisikos die Konsultation bei der zuständigen Aufsichtsbehörde durchzuführen ist.

Gesetzlicher Mindestinhalt sowie weitere nützliche Anleitungen

Ausgangspunkt für den erforderlichen Mindestinhalt nach der neuen Rechtslage ist Artikel 35 Abs. 7 DS-GVO. Wie bei allen Artikeln der DS-GVO finden sich in den Erwägungsgründen (EG), die Teil der DS-GVO sind, ergänzende Angaben und Auslegungshilfen, die Teil des anwendbaren Rechts sind. So gibt etwa EG 75 nähere Angaben dazu, was unter einem Risiko zu verstehen ist. EG 76 betrifft die Eintrittswahrscheinlichkeit sowie die Schwere des Risikos, welche für die Folgenabschätzung jeweils zu prüfen sind. EG 92 und 93 enthalten ergänzende Angaben zur Durchführung der DS-GVO. EG 94, 95 und 96 betreffen sodann das Konsultationsverfahren bei der Behörde.

Ergänzende, hilfreiche Angaben finden sich ferner in Kurzpapier Nr. 5, welches Teil der von den Aufsichtsbehörden aller Bundesländer gemeinsam verabschiedeten Kurzpapiere zur DS-GVO ist. Weitere, sehr konkrete und durchaus lesenswerte Angaben und Mustertexte finden sich auf den Webseiten der französischen Datenschutzbehörde CNIL (dort PIA, Privacy Impact Assessment genannt) und der englischen Datenschutzbehörde ICO.


Die Durchführung im Einzelnen: Inhalte

  • Erforderlichkeit einer Folgenabschätzung

Es empfiehlt sich ein einleitender Absatz dazu, was die Folgenabschätzung erreichen soll, und wieso der Arbeitgeber davon ausgeht, dass eine Folgenabschätzung erforderlich sein dürfte. Hier könnte beispielsweise, etwa im Falle der Verwendung von Überwachungskameras oder von Zeiterfassungssoftware, auf die in Teil 1 (Blog vom 07.05.2018) zitierten und beschriebenen Veröffentlichungen der belgischen und der polnischen Datenschutzbehörde verwiesen werden.

  • Systematische Beschreibung der geplanten Bearbeitungsvorgänge sowie der Zwecke

Im Rahmen der Beschreibung sollte möglichst ausführlich dargestellt werden, wie der Arbeitgeber Daten erfasst, verwendet, sammelt und sodann löscht. Hilfreich sind Angaben zu den Quellen der Daten sowie zu möglichen weiteren Empfängern. An dieser Stelle ist es hilfreich, interne, anonymisierte Unterlagen sowie Diagramme oder sonstige Unterlagen zur Veranschaulichung beizufügen. Sofern die Verarbeitung auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 f. DS-GVO erfolgt, ist dieses zu beschreiben.

Zu beschreiben sind auch Art und Umfang der verarbeiteten Daten sowie die Häufigkeit der Datenverarbeitung, und wie viele Arbeitnehmer oder sonstige Datensubjekte (Kunden/Besucher z. B.) davon betroffen sind. Ebenso sind Angaben dazu zu machen, welches der Erwartungshorizont der betroffenen Individuen, insbesondere der Arbeitnehmer ist, ob sie dieser Art der Datenverarbeitung erwarten und ob sie hierüber Kontrolle haben. Bei ungewöhnlichen oder neuen Verfahren oder besonders risikointensiven Verfahren sind auch hierzu Angaben zu machen. Schließlich ist auch das Ziel der Verarbeitung zu beschreiben.

  • Konsultationsverfahren

Zu beschreiben ist, inwieweit im Falle von Arbeitnehmern eine Beratung mit den betroffenen Individuen, oder deren Vertretung durch Konzern-/Gesamt-/Betriebsrat stattgefunden hat. Beschrieben werden sollte ferner, welche weiteren fachkundigen Akteure innerhalb des Arbeitgeberunternehmens involviert waren, Datenschutzbeauftragter, externe Berater.

  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

Zu prüfen ist, ob die beschriebenen Verarbeitungsvorgänge tatsächlich für den beschriebenen Zweck erforderlich, also zielführend sind, ferner ob sie verhältnismäßig sind, oder ob es weniger invasive Alternativen gibt.

  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

Hier empfiehlt sich ein Brainstorming-Prozess mit allen internen und externen Experten zur Identifizierung von und sodann Prüfung daraus resultierender Risiken. Diese Risiken sollten untergliedert nach Eintrittswahrscheinlichkeit einerseits und etwaiger Schadenshöhe andererseits geprüft werden.

  • Abhilfemaßnahmen

In einem nächsten Schritt sollten in Bezug auf das identifizierte Risiko Abhilfemaßnahmen geprüft werden. Hierunter sind vor allem technische und organisatorische Maßnahmen zu verstehen. Dabei ist darzustellen, wie die zuvor identifizierten Risiken hierdurch jeweils konkret minimiert oder beseitigt werden können. Ist dies nicht möglich, verbleibt ein Restrisiko, das als hoch, mittel oder gering einzustufen ist.

Dokumentation

Wichtig ist eine gründliche Dokumentation aller Erwägungen zu den soeben beschrittenen Prüfschritten sowie zu deren Umsetzung. Einmal erwogene Abhilfemaßnahmen sollen zunächst in ihrer Wirksamkeit geprüft werden, bevor sie bestätigt und final in die Folgenabschätzung eingefügt werden können. Schließlich sind auch die Stellungnahmen der verantwortlichen Entscheider innerhalb des Arbeitgeberunternehmens sowie auch des Datenschutzbeauftragten in der Dokumentation festzuhalten.

Die Folgenabschätzung ist kein einmaliger Prozess. Wenn sich Rahmenumstände verändern, ist sie erneut durchzuführen.

Konsultationsverfahren mit der Behörde

Wenn das Ergebnis des letzten soeben beschriebenen Prüfungsschrittes ist, dass die geplanten und ersichtlichen Abhilfemaßnahmen nicht ausreichen, um die identifizierten Risiken zu minimieren, sodass „die Verarbeitung ein hohes (Rest)Risiko zur Folge hätte“, so ist die zuständige Aufsichtsbehörde zu konsultieren. Das Konsultationsverfahren ist in Art. 36 DS-GVO beschrieben. Wichtig ist es, dass die Behörde mit sorgfältig vorbereiteten Unterlagen kontaktiert wird, bei denen sich die Möglichkeit für Rückfragen auf essentielle Rechtsfragen beschränkt.

Spannend ist hierbei auch in der anwaltlichen Beratung die Frage, wann von einem hohen Restrisiko auszugehen ist. Die Datenschutzaufsichtsbehörden haben naturgemäß kein Interesse daran, bei wenig risikoreichen Verarbeitungsprozessen konsultiert zu werden. Auf der anderen Seite trägt das prüfende Arbeitgeberunternehmen sowie der etwaige externe Berater das Risiko dafür, das Risiko zu leichtfertig nicht als hoch einzuschätzen. Hier muss insbesondere bei datenintensiven Verfahren eine sorgfältige Abwägung der Risiken und der Techniken zu ihrer Minimierung stattfinden.

Da die Übergangsfrist nun vorüber ist und die DS-GVO nun unmittelbare Anwendung findet, können Anträge auf Durchführung einer Konsultation bei den jeweils örtlich zuständigen Aufsichtsbehörden jetzt eingereicht werden, die sodann innerhalb einer Frist von einem  Monat bzw. im Falle einer Verlängerung zwei Monaten zu bescheiden sind. Denkbare Reaktionen der Behörde sind neben Empfehlungen und Anweisungen auch die Untersagung der beabsichtigten Verarbeitung.

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf. Sie ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Datenschutz Neueste Beiträge

Datenschutzrechtlicher Anspruch auf Entfernung einer Abmahnung aus der Personalakte

Datenschutzrechtliche Fragestellungen gewinnen im Rahmen arbeitsrechtlicher Auseinandersetzungen in der Praxis weiter an Bedeutung. Gestritten wird vor allem um die Reichweite und Grenzen des Auskunftsanspruchs nach Art. 15 DS-GVO. Die Entwicklungen rund um andere im Datenschutzrecht verankerte Betroffenenrechte sollte dabei jedoch nicht aus den Augen gelassen werden. Im Zusammenhang mit dem Entfernungsanspruch einer Abmahnung aus der Personalakte wird in der Instanzgerichtsbarkeit derzeit virulent die Anwendbarkeit der…
Datenschutz Neueste Beiträge Video

Datenübertragungen in die USA wieder möglich?

Die EU-Kommission hat am 10. Juli 2023 das EU-US Data Privacy Framework akzeptiert. Die Entscheidung setzt – hoffentlich – der Unsicherheit ein Ende, die nach den „Schrems I“- und „Schrems II“-Entscheidungen des EuGH aus 2015 bzw. 2020 geherrscht hat. Europäische und deutsche Arbeitgeber haben nun eine sichere Rechtsgrundlage für die Übertragung von Arbeitnehmer- und anderen Daten in die USA. Das betrifft auch den Einsatz von…
Mitbestimmung Neueste Beiträge

Mitbestimmung bei IT-Systemen: Voraussetzung des zwingenden Personenbezugs!?

Der Betriebsrat hat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen ( § 87 Abs. 1 Nr. 6 BetrVG). Nach ständiger Rechtsprechung des BAG reicht es aus, dass die technische Einrichtung dazu „objektiv geeignet“ ist. Dies führt dazu, dass in der betrieblichen Praxis nahezu jedes IT-System der Mitbestimmung unterliegt, bisweilen…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert