Hauptinhalt

Erforderlichkeit einer Datenschutz-Folgenabschätzung

Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellenwertanalyse“). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine Datenschutz-Folgenabschätzung durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine Datenschutz-Folgenabschätzung nicht zwingend erforderlich. Die Entscheidung über die Durchführung oder Nichtdurchführung der Datenschutz-Folgenabschätzung ist mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.

Artikel 35 Absatz 3 Datenschutz-Grundverordnung benennt einige Faktoren, die wahrscheinlich zu einem hohen Risiko im Sinne des  Artikels 35 Absatz 1 Datenschutz-Grundverordnung führen. Diese sind

  • die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen mittels automatisierter Verarbeitung (einschließlich Profiling), die als Grundlage für Entscheidungen dient, Rechtswirkungen gegenüber natürlichen Personen entfaltet oder diese in ähnlich erheblicher Weise beeinträchtigen,
  • die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 Datenschutz-Grundverordnung (z. B. Gesundheitsdaten, genetische oder biometrische Daten, Daten zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder Gewerkschaftszugehörigkeiten) oder von personenbezogenen Daten über Verurteilungen und Straftaten,
  • die systematische umfangreiche Überwachung öffentlich zugänglicher Räume.

Liegt bei einer konkreten Verarbeitungstätigkeit keiner dieser Faktoren vor, so entbindet dies noch nicht von der Durchführung einer Datenschutz-Folgenabschätzung. Vielmehr ist dann die oben bereits angesprochene „Schwellenwertanalyse“ durchzuführen, in deren Ergebnis ebenfalls das Erfordernis einer Datenschutz-Folgenabschätzung stehen kann.

Es ist im Übrigen zu erwarten, dass die Datenschutzaufsichtsbehörden eine nicht-abschließende Liste mit Verarbeitungstätigkeiten, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist, veröffentlichen werden. Auch zur Durchführung der „Schwellenwertanalyse“ sollen künftig Hinweise durch die Datenschutzaufsichtsbehörden zur Verfügung gestellt werden.

Außerdem ist Artikel 35 Absatz 10 Datenschutz-Grundverordnung zu beachten. Danach ist grundsätzlich dann keine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verarbeitung personenbezogener Daten auf einer Rechtsvorschrift, die ein im öffentlichen Interesse liegendes Ziel verfolgt (Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe c oder e Datenschutz-Grundverordnung), basiert und beim Erlass der Vorschrift eine Datenschutz-Folgenabschätzung vorgenommen wurde. In diesen Fällen ist ausnahmsweise nur dann eine Datenschutz-Folgenabschätzung erforderlich, wenn dies nach dem Ermessen der normgebenden Stelle vor der Aufnahme der betreffenden Verarbeitungstätigkeit für erforderlich gehalten wird. Artikel 35 Absatz 10 Datenschutz-Grundverordnung wird jedoch erst nach und nach Bedeutung erlangen. Derzeit werden noch für längere Zeit Rechtsgrundlagen für die Verarbeitung personenbezogener Daten vorliegen, die keine Datenschutz-Folgenabschätzung durchlaufen haben.

zurück zum Seitenanfang