Sie befinden sich hier:

In welchen Fällen muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Gemäß Art. 35 Abs. 1 Satz 1 DSGVO hat der Verantwortliche bei Verarbeitungsvorgängen, die „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, vorab eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Das hohe Risiko kann hierbei aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung resultieren, insbesondere wenn neue Technologien verwendet werden.

Eine Datenschutz-Folgenabschätzung ist gemäß § 35 Abs. 3 DSGVO insbesondere (aber nicht abschließend) in folgenden Fällen erforderlich:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (z. B. Scoring);
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. mittels Videoüberwachung).

Lässt sich ein Verarbeitungsvorgang einer dieser genannten Fallgruppen zuordnen, hat der Verantwortliche in jedem Fall eine DSFA durchzuführen. Einer eigenen „Vorab-Prüfung“ durch den Verantwortlichen, ob der Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat, bedarf es in diesen Fällen nicht.

a) Systematische und umfassende Bewertung persönlicher Aspekte

Gemäß Art. 22 Abs. 1 DSGVO hat eine betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Erfolgt trotzdem eine systematische (also planmäßige) und umfassende Bewertung persönlicher Aspekte dieser Personen, so muss in jedem Fall eine Datenschutz-Folgenabschätzung durchgeführt werden.

b) Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten

Zu den besonderen Kategorien personenbezogener Daten zählen gemäß Art. 9 Abs. 1 DSGVO personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Damit sind zu den bisher in § 3 Abs. 9 BDSG definierten besonderen Arten personenbezogener Daten „genetische Angaben“ und „biometrische Daten“ neu hinzugekommen. Während genetische Daten immerhin zu den Gesundheitsdaten gezählt werden konnten, waren biometrische Daten bisher überhaupt noch nicht erfasst.

Bei Beurteilung der Frage, ob eine Datenverarbeitung „in großem Umfang“ erfolgt, sind insbesondere die folgenden Faktoren kumulativ zu berücksichtigen:

Zahl der betroffenen Personen: Betrachtung entweder der konkreten Anzahl der betroffenen Personen (absolute Betrachtung) oder des Anteils an der entsprechenden Bevölkerungsgruppe (relative Betrachtung)

Datenumfang: Verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente

Dauer: Dauer oder Dauerhaftigkeit der Datenverarbeitung

Geografische Reichweite: Geografisches Ausmaß der Datenverarbeitung1)

c) Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Dazu sagt der Erwägungsgrund 91 der Datenschutz-Grundverordnung Folgendes aus: „Gleichermaßen erforderlich ist eine Datenschutz-Folgenabschätzung für die weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen“.

Öffentlich zugängig sind Bereiche, die von Jedermann betreten werden können, selbst wenn dafür ein Eintrittsgeld verlangt wird.

Die Überwachung muss systematisch (also planmäßig) erfolgen.

Eine Datenschutz-Folgenabschätzung ist somit in der Regel auch bei einer Videoüberwachung und einer Überwachung mittels Drohnen erforderlich.

Fundstelle:

1) Orientierungshilfe „Datenschutz-Folgenabschätzung“ des Bayerischen Landesbeauftragten für den Datenschutz – abrufbar im Internet unter www.datenschutz-bayern.de/technik/orient/oh_dsfa.pdf

Hinweis: Der Bayerische Landesbeauftragte für den Datenschutz hat unter www.datenschutz-bayern.de/dsfa/ Formulare für die Durchführung einer Datenschutz-Folgenabschätzung veröffentlicht, die zwar für den öffentlichen Bereich bestimmt sind, aber mit wenigen Anpassungen auch für den nicht-öffentlichen Bereich genutzt werden können.

nach oben