open search
close
Datenschutz

Datenschutz-Folgenabschätzung, Teil 2: Empfehlungen für die praktische Durchführung

Print Friendly, PDF & Email

Im ersten Teil zur Datenschutz-Folgenabschätzung auf unserem Blog vom 07.05.2018 haben wir dargestellt, wann eine Datenschutz-Folgenabschätzung (im Folgenden: Folgenabschätzung) erforderlich ist. In diesem Blog Beitrag geben wir Ihnen nun praktische Empfehlungen dazu, wie die Datenschutz-Folgenabschätzung im einzelnen durchgeführt und sodann dokumentiert werden sollte. Ferner geben wir Empfehlungen dazu, wie im Falle eines verbleibenden hohen Restrisikos die Konsultation bei der zuständigen Aufsichtsbehörde durchzuführen ist.

Gesetzlicher Mindestinhalt sowie weitere nützliche Anleitungen

Ausgangspunkt für den erforderlichen Mindestinhalt nach der neuen Rechtslage ist Artikel 35 Abs. 7 DS-GVO. Wie bei allen Artikeln der DS-GVO finden sich in den Erwägungsgründen (EG), die Teil der DS-GVO sind, ergänzende Angaben und Auslegungshilfen, die Teil des anwendbaren Rechts sind. So gibt etwa EG 75 nähere Angaben dazu, was unter einem Risiko zu verstehen ist. EG 76 betrifft die Eintrittswahrscheinlichkeit sowie die Schwere des Risikos, welche für die Folgenabschätzung jeweils zu prüfen sind. EG 92 und 93 enthalten ergänzende Angaben zur Durchführung der DS-GVO. EG 94, 95 und 96 betreffen sodann das Konsultationsverfahren bei der Behörde.

Ergänzende, hilfreiche Angaben finden sich ferner in Kurzpapier Nr. 5, welches Teil der von den Aufsichtsbehörden aller Bundesländer gemeinsam verabschiedeten Kurzpapiere zur DS-GVO ist. Weitere, sehr konkrete und durchaus lesenswerte Angaben und Mustertexte finden sich auf den Webseiten der französischen Datenschutzbehörde CNIL (dort PIA, Privacy Impact Assessment genannt) und der englischen Datenschutzbehörde ICO.


Die Durchführung im Einzelnen: Inhalte

  • Erforderlichkeit einer Folgenabschätzung

Es empfiehlt sich ein einleitender Absatz dazu, was die Folgenabschätzung erreichen soll, und wieso der Arbeitgeber davon ausgeht, dass eine Folgenabschätzung erforderlich sein dürfte. Hier könnte beispielsweise, etwa im Falle der Verwendung von Überwachungskameras oder von Zeiterfassungssoftware, auf die in Teil 1 (Blog vom 07.05.2018) zitierten und beschriebenen Veröffentlichungen der belgischen und der polnischen Datenschutzbehörde verwiesen werden.

  • Systematische Beschreibung der geplanten Bearbeitungsvorgänge sowie der Zwecke

Im Rahmen der Beschreibung sollte möglichst ausführlich dargestellt werden, wie der Arbeitgeber Daten erfasst, verwendet, sammelt und sodann löscht. Hilfreich sind Angaben zu den Quellen der Daten sowie zu möglichen weiteren Empfängern. An dieser Stelle ist es hilfreich, interne, anonymisierte Unterlagen sowie Diagramme oder sonstige Unterlagen zur Veranschaulichung beizufügen. Sofern die Verarbeitung auf Basis eines berechtigten Interesses nach Art. 6 Abs. 1 f. DS-GVO erfolgt, ist dieses zu beschreiben.

Zu beschreiben sind auch Art und Umfang der verarbeiteten Daten sowie die Häufigkeit der Datenverarbeitung, und wie viele Arbeitnehmer oder sonstige Datensubjekte (Kunden/Besucher z. B.) davon betroffen sind. Ebenso sind Angaben dazu zu machen, welches der Erwartungshorizont der betroffenen Individuen, insbesondere der Arbeitnehmer ist, ob sie dieser Art der Datenverarbeitung erwarten und ob sie hierüber Kontrolle haben. Bei ungewöhnlichen oder neuen Verfahren oder besonders risikointensiven Verfahren sind auch hierzu Angaben zu machen. Schließlich ist auch das Ziel der Verarbeitung zu beschreiben.

  • Konsultationsverfahren

Zu beschreiben ist, inwieweit im Falle von Arbeitnehmern eine Beratung mit den betroffenen Individuen, oder deren Vertretung durch Konzern-/Gesamt-/Betriebsrat stattgefunden hat. Beschrieben werden sollte ferner, welche weiteren fachkundigen Akteure innerhalb des Arbeitgeberunternehmens involviert waren, Datenschutzbeauftragter, externe Berater.

  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

Zu prüfen ist, ob die beschriebenen Verarbeitungsvorgänge tatsächlich für den beschriebenen Zweck erforderlich, also zielführend sind, ferner ob sie verhältnismäßig sind, oder ob es weniger invasive Alternativen gibt.

  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

Hier empfiehlt sich ein Brainstorming-Prozess mit allen internen und externen Experten zur Identifizierung von und sodann Prüfung daraus resultierender Risiken. Diese Risiken sollten untergliedert nach Eintrittswahrscheinlichkeit einerseits und etwaiger Schadenshöhe andererseits geprüft werden.

  • Abhilfemaßnahmen

In einem nächsten Schritt sollten in Bezug auf das identifizierte Risiko Abhilfemaßnahmen geprüft werden. Hierunter sind vor allem technische und organisatorische Maßnahmen zu verstehen. Dabei ist darzustellen, wie die zuvor identifizierten Risiken hierdurch jeweils konkret minimiert oder beseitigt werden können. Ist dies nicht möglich, verbleibt ein Restrisiko, das als hoch, mittel oder gering einzustufen ist.

Dokumentation

Wichtig ist eine gründliche Dokumentation aller Erwägungen zu den soeben beschrittenen Prüfschritten sowie zu deren Umsetzung. Einmal erwogene Abhilfemaßnahmen sollen zunächst in ihrer Wirksamkeit geprüft werden, bevor sie bestätigt und final in die Folgenabschätzung eingefügt werden können. Schließlich sind auch die Stellungnahmen der verantwortlichen Entscheider innerhalb des Arbeitgeberunternehmens sowie auch des Datenschutzbeauftragten in der Dokumentation festzuhalten.

Die Folgenabschätzung ist kein einmaliger Prozess. Wenn sich Rahmenumstände verändern, ist sie erneut durchzuführen.

Konsultationsverfahren mit der Behörde

Wenn das Ergebnis des letzten soeben beschriebenen Prüfungsschrittes ist, dass die geplanten und ersichtlichen Abhilfemaßnahmen nicht ausreichen, um die identifizierten Risiken zu minimieren, sodass „die Verarbeitung ein hohes (Rest)Risiko zur Folge hätte“, so ist die zuständige Aufsichtsbehörde zu konsultieren. Das Konsultationsverfahren ist in Art. 36 DS-GVO beschrieben. Wichtig ist es, dass die Behörde mit sorgfältig vorbereiteten Unterlagen kontaktiert wird, bei denen sich die Möglichkeit für Rückfragen auf essentielle Rechtsfragen beschränkt.

Spannend ist hierbei auch in der anwaltlichen Beratung die Frage, wann von einem hohen Restrisiko auszugehen ist. Die Datenschutzaufsichtsbehörden haben naturgemäß kein Interesse daran, bei wenig risikoreichen Verarbeitungsprozessen konsultiert zu werden. Auf der anderen Seite trägt das prüfende Arbeitgeberunternehmen sowie der etwaige externe Berater das Risiko dafür, das Risiko zu leichtfertig nicht als hoch einzuschätzen. Hier muss insbesondere bei datenintensiven Verfahren eine sorgfältige Abwägung der Risiken und der Techniken zu ihrer Minimierung stattfinden.

Da die Übergangsfrist nun vorüber ist und die DS-GVO nun unmittelbare Anwendung findet, können Anträge auf Durchführung einer Konsultation bei den jeweils örtlich zuständigen Aufsichtsbehörden jetzt eingereicht werden, die sodann innerhalb einer Frist von einem  Monat bzw. im Falle einer Verlängerung zwei Monaten zu bescheiden sind. Denkbare Reaktionen der Behörde sind neben Empfehlungen und Anweisungen auch die Untersagung der beabsichtigten Verarbeitung.

23 beiträge

Dr. Jessica Jacobi 




Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf.
Verwandte Beiträge
Betriebsrat Datenschutz Neueste Beiträge

Datenschutzbeauftragter und Betriebsratsmitglied – passt das zusammen?

Zwei Ämter, die auf den ersten Blick nicht so richtig zusammenpassen: Datenschutzbeauftragter und Betriebsratsmitglied. Jedoch hat das BAG (vom 23. März 2011 – 10 AZR 562/09) entschieden, dass beide Ämter von ein und derselben Person bekleidet werden können. Warum der Arbeitgeber dieses – durch den Vorlagebeschluss des BAG (vom 27. April 2021 – 9 AZR 383/19 (A)) – erneut höchst aktuelle Thema besonders im Blick…
Datenschutz Individualarbeitsrecht Internationales Arbeitsrecht Internationales Arbeitsrecht2 Neueste Beiträge

Strenger als der EuGH erlaubt?

Deutscher Sonderkündigungsschutz des Datenschutzbeauftragten auf dem Prüfstand Muss ich als Unternehmen einen Datenschutzbeauftragten bestellen? Externer oder interner Datenschutzbeauftragter? Einmal Datenschutzbeauftragter immer Datenschutzbeauftragter? Solche oder so ähnliche Fragen sollten Sie sich stellen, bevor Sie über die Bestellung eines Datenschutzbeauftragten nachdenken. Denn Achtung: Der Datenschutzbeauftragte genießt nach deutschem Recht (noch?) Sonderkündigungsschutz. Das BAG stellt den deutschen Sonderkündigungsschutz nunmehr aber grundsätzlich in Frage und hat Bedenken, ob der…
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.