Datenschutz

Kategorie Datenschutz

Schonfrist abgelaufen (Update)

von
Schonfrist abgelaufen / Datenschutz

Die französische Datenschutzbehörde hat gegen Google aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat angekündigt gegen die Hotelkette Marriott ein Bußgeld von 99,2 Millionen britischen Pfund, umgerechnet rund 110 Millionen Euro, zu verhängen. Gegen die Fluggesellschaft British Airways hat die … Weiterlesen …

Consent Management Database: Verwaltung von Einwilligungserklärungen

von
Consent_Management_Mip_Consult_GmbH / Verwaltung von Einwilligungserklärungen

Auch mit der Datenschutz-Grundverordnung (DSGVO) bleibt es beim bisher in Deutschland bestehenden grundlegenden Prinzip des Datenschutzrechts: Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten; nur wenn es im Gesetz eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, dürfen diese Daten verarbeitet werden. Neben den unter anderem in Art. 6 DSGVO Abs. 1 b bis f geregelten … Weiterlesen …

DSGVO: Datenschutz-Folgenabschätzung

von
Datenschutz-Folgenabschätzung

Unternehmen sollten sich im Zuge der Vorbereitung auf die Datenschutzgrundverordnung (DSGVO) rechtzeitig mit der Datenschutz-Folgenabschätzung vertraut machen. Diese ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Im Rahmen der Datenschutz-Folgenabschätzung sind Unternehmen gehalten, vor Einführung eines Datenverarbeitungsverfahrens eine Risikoeinschätzung vorzunehmen und zu dokumentieren 1). Es handelt sich insofern um eine Pflicht zur vorherigen Analyse der Folgen, welche die Verarbeitung für den Schutz personenbezogener Daten mit sich bringt. Völlig unbekannt ist die Vornahme einer solchen Prüfung nicht, denn mit der Vorabkontrolle in § 4 d Abs. 5 BDSG waren Unternehmen auch bisher schon verpflichtet, bestimmte Verfahren speziellen Prüfungen zu unterziehen. Dieser Artikel gibt einen Überblick über die Datenschutz-Folgenabschätzung.

Wozu ist die Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung ist eine Ausprägung des datenschutzrechtlichen Grundsatzes Privacy by Design 2). Dieser hält dazu an, durch datenschutzfreundliche Technikgestaltung und Voreinstellung, zur Verringerung des Gefahrenpotenzials beizutragen. Im Kern geht es um die Wahrung des informationellen Selbstbestimmungsrechts der betroffenen Personen. Damit knüpft die Datenschutz-Folgenabschätzung (genau wie bisher die Vorabkontrolle) bereits vor Implementierung eines Verfahrens an, um Risiken bei der Verarbeitung personenbezogener Daten einzuschätzen und letztlich durch organisatorische Vorkehrungen einzudämmen.

Die Datenschutz-Folgenabschätzung ist als Instrument zur Risikoerkennung und -bewertung zu verstehen. Ihr Ziel ist es, das persönlichkeitsgefährdende Potenzial eines Verfahrens zu erkennen, welches dem Individuum in seinen unterschiedlichen Rollen (als Bürger, Mitarbeiter eines Unternehmens, Kunde etc.) durch den Einsatz einer bestimmten Technologie oder eines Systems droht 3). Die Abschätzung dient als Basis für sinnvolle Gegenmaßnahmen.

Wann kommt die Datenschutz-Folgenabschätzung zum Einsatz?

Eine Folgenabschätzung ist immer dann durchzuführen, wenn das geplante Verfahren auf die Verarbeitung personenbezogener Daten abzielt und dies ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.4)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird dabei eine Person angesehen, die anhand direkter oder indirekter Merkmale bestimmt werden kann, also insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung.5) Der Begriff der personenbezogenen Daten wird dabei im Sinne eines effektiven Schutzes von Betroffenen sehr weit ausgelegt, d.h. ein Personenbezug ist immer schon dann anzunehmen, wenn ein solcher nicht auszuschließen ist. Beispiele für personenbezogene Daten sind Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf und Ausbildungsstand.

Ferner muss ein hohes Risiko vorliegen. Ein Risiko ist jedenfalls dann als hoch einzustufen, wenn eine Prognose ergibt, dass mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten natürlicher Personen droht. Droht ein hoher Schaden, genügt eine geringe Eintrittswahrscheinlichkeit. Bei hoher Wahrscheinlichkeit genügt bereits ein geringer zu erwartender Schaden.6)

Beispielhaft werden in der DSGVO u.a. folgende Fälle genannt, bei denen eine Folgenabschätzung grundsätzlich zu erfolgen hat:

  • Verarbeitung besonderer Kategorien personenbezogener Daten; diese Daten werden umgangssprachlich auch sensible oder sensitive Daten bezeichnet und umfassen nach Art. 9 Abs. 1 DSGVO:
    • Rassische oder ethnische Herkunft
    • Politische Meinung
    • Religiöse und weltanschauliche Überzeugung
    • Gewerkschaftszugehörigkeit
    • Genetische Daten
    • Biometrische Daten
    • Gesundheitsdaten
    • Sexualleben sowie sexuelle Orientierung
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Systematische und weiträumigen Überwachungen öffentlich zugänglicher Bereiche (z.B. durch Videokameras)
  • Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring, Online Kreditanträge oder Online-Einstellungsverfahren)

Die Aufsichtsbehörden werden eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Folgenabschätzung unerlässlich ist (black list). Ebenso können diese auch Listen erstellen, bei denen festgelegt wird, dass keine Folgenabschätzung gemacht werden muss (white list).

Hinweis: Wurden für die bereits laufenden Verarbeitungsverfahren bisher keine Prüfungen auf etwaige notwendige Folgenabschätzungen durchgeführt, sollte dies nachgeholt werden, um das Risiko etwaiger Persönlichkeitsrechtsverletzungen zu vermeiden.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

In Art. 35 Abs. 7 DSGVO ist der Mindestinhalt einer Datenschutz-Folgenabschätzung geregelt. Zusammengefasst beinhaltet eine Folgenabschätzung folgende schriftlich zu dokumentierende Schritte:

  1. Beschreibung des vorgesehenen Verarbeitungsverfahrens und der Zwecke der Verarbeitung, Art. 35 Abs. 7 lit. a DSGVO
  2. Ggf. Einholung des Standpunkts der betroffenen Personen (konkret betroffenen Personen bzw. aber auch Gruppen wie Verbraucherverbände), Art. 35 Abs. 9 DSGVO
  3. Bewertung, Art. 35 Abs. 7 lit. b und c DSGVO
    • Verarbeitungsverfahren notwendig?
    • Verhältnismäßigkeitsprüfung bezüglich Verarbeitungszwecks
    • Bewertung der Risiken hinsichtlich der Rechte und Freiheiten der betroffenen Personen
  4. Ausarbeitung von Abhilfemaßnahmen zum Schutz der Daten, Art. 35 Abs. 7 lit. d DSGVO

In der Folge ist eine Überprüfung und Überwachung der Vorgaben auch der Folgenabschätzung, auch im Hinblick auf eventuelle Änderungen, erforderlich.

Im Gegensatz zur Vorabkontrolle, für die bisher die Zuständigkeit explizit beim Datenschutzbeauftragten lag, obliegt die Durchführung der Folgenabschätzung nach Art. 35 Abs. 2 DSGVO dem Verantwortlichen, also dem jeweiligen Unternehmen. Allerdings ist der Rat des Datenschutzbeauftragte einzuholen.

Benachrichtigung der Aufsichtsbehörde

Verbleiben bei dem geplanten Verfahren trotz Maßnahmen zur Eindämmung der Risiken potenzielle Gefahren für Betroffenem, so hat das Unternehmen nach Art 36 Abs. 1 DSGVO die Pflicht, die Aufsichtsbehörde vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Kommt der Unternehmer dieser Pflicht nicht nach, kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes verhängen; je nachdem, welcher der Beträge höher ist.7) Nach Konsultation der Aufsichtsbehörde sind diese angehalten, auf das Ersuchen innerhalb von acht Wochen zu antworten.

Folgen der Nichtdurchführung

Wird eine erforderliche Datenschutz-Folgenabschätzung erst gar nicht durchgeführt, kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben. Auch hier gilt, genau wie bei Verletzung der Konsultationspflicht, dass jeweils der höhere der beiden Beträge angesetzt wird.8)

Fazit

Mit Inkrafttreten der DSGVO wird das bestehende Prüfungsverfahren der Vorabkontrolle durch die Datenschutz-Folgenabschätzung abgelöst. Grundsätzlich sind beide Instrumente ähnlich. Allerdings weist die Datenschutz-Folgenabschätzung gegenüber ihrem Vorgänger unter anderem einen erweiterten Anwendungsbereich auf und erfasst sämtliche Verarbeitungen (nicht nur automatisierte Verarbeitungen). Ferner wird die grundsätzliche Zuständigkeit der Durchführung auf das Unternehmen verlagert. Allerdings bleibt die Einbeziehung eines Datenschutzbeauftragten als Ansprechpartner weiterhin unausweichlich, Art 35 Abs. 2 DSGVO.

Nach der Konzeption der DSGVO versteht sich die Datenschutz-Folgenabschätzung nicht nur als Last für Unternehmen. Sie eröffnet auch die Chance, ungewollte Datenschutzrisiken frühzeitig zu erkennen, aufsichtsbehördliches Verhalten zu antizipieren und spätere Anpassungsnotwendigkeiten durch „Privacy by Design“-Maßnahmen zu vermeiden – und dadurch im Idealfall Ressourcen zu sparen.9)

Sollten Sie Unterstützung im Bereich der Erfüllung datenschutz-rechtlicher Anforderungen benötigen, können wir Ihnen als zertifizierte Datenschutzbeauftragte gerne helfen. Nehmen Sie dazu Kontakt zu uns auf.

Kontakt aufnehmen
Der richtige Weg zum Beratungsgespräch

Informationspflichten und Transparenz

von
DSGVO Informationspflichten und Transparenz

Die im Mai 2018 in Kraft tretende Datenschutz Grundverordnung (DSGVO) führt in einigen Bereichen zu erheblichen Änderungen der aktuellen Gesetzeslage. Eine wichtige Neuerung betrifft die nunmehr notwendigen Informationspflichten bei der Erhebung von personenbezogenen Daten. Dies bedeutet, dass Unternehmen in jedem Fall ihre Datenschutzerklärungen überarbeiten müssen, insbesondere auf ihren Webseiten, sofern dort über Formulare oder auf … Weiterlesen …

Social Plugins für Unternehmen

von
Social Plugins für Unternehmen

Für viele Unternehmen ist die Nutzung von Social Plugins als Marketinginstrument auf ihren Webseiten nicht mehr wegzudenken. Datenschutzrechtlich ist dies jedoch nicht immer ganz unbedenklich. So erklärte das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein 2011 den Facebook-Like-Button als nicht datenschutzkonform. Dieser Einschätzung schlossen sich mittlerweile auch diverse Gerichte an. Etwas anderes gilt wohl nur für … Weiterlesen …

Google Analytics: Datenschutzkonforme Anwendung

von
Es sind ein aufgestelltes Tablet und ein Smartphone zu erkennen auf denen Statistiken, ähnlich denen von Google Analytics, zu erkennen sind. Eine Hand deutet mit einem Stift auf ein Schaubild des Tablets.

Die Unternehmenswebseite ist die Visitenkarte im Netz. In vielen Unternehmen wird sogar ein beträchtlicher Teil des Umsatzes über das Internet generiert. Hierfür ist die professionelle Pflege der Webseite essentiell. Ein wichtiges Werkzeug für die Performance einer Webseite ist die Web-Analyse. Eines der meist genutzten Tools zur Webanalyse ist Google Analytics. Google Analytics ist ein Online-Dienst … Weiterlesen …

Datenschutzbeauftragter – Wer, wann, wie

von
Bestellung eines Datenschutzbeauftragten / das zweite Datenschutzanpassungsgesetz / Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten – Muss das sein? Die Antwort hierauf lautet in den meisten Fällen „Ja“. Vor allem kleinere Unternehmen sehen die Datenschutzvorschriften als kostspieliges Hindernis in der Unternehmensführung und vernachlässigen das sensible Thema Datenschutz. Diese Vernachlässigung kann allerdings für Unternehmen sehr teuer werden, da Datenschutz nicht nur für etablierte Konzerne relevant ist. Gerade … Weiterlesen …

Die größten unternehmerischen Datenschutzbrüche

von
Ein Mann mit einem Tablet in einer Hand, hantiert mit der anderen Hand an einem Server herum / Datenschutz

Täglich vertrauen Verbraucher Unternehmen online ihre Daten an. Wie verarbeiten Unternehmen diese Daten? Wie gehen sie mit einem Datenschutzverstoß um? Was passiert bei sogenannten Datenschutzpannen? Viele große Unternehmen gerieten in letzter Zeit durch ihren Umgang mit Nutzerdaten in Verruf. Drei große Unternehmen davon haben wir unter die Lupe genommen: Yahoo, Vodafone und LinkedIn. Yahoo Das … Weiterlesen …

EU-Datenschutzgrundverordnung – Das ist neu

von
Es ist ein Schreibtisch zu sehen auf dem eine Brille, ein Kugelschreiber, eine EU-Flagge, ein Vertrag und ein Tablett liegen. Dahinter erkennt man in Unschärfe, einen zum Fenster hinausblickenden Herren. / Datenschutzgrundverordnung

Der Weg zur neuen europäischen Datenschutzgrundverordnung (DSGVO) war lang und beschwerlich. Über vier Jahre dauerte der harte Kampf durch das Gesetzgebungsverfahren der Europäischen Union. Nie zuvor hatte ein Verfahren dermaßen viel Zeit in Anspruch genommen. Nie zuvor gab es so viele Anträge und Änderungswünsche (über 4000).Am 25. Mai 2018 wird die neue europäische Datenschutzgrundverordnung die … Weiterlesen …

Sicherheit versus Datenschutz: Gesichtserkennungssoftware

von
Es ist ein Mann zu, sehen dessen Auge durch eine transparenten Zielscheibe fokussiert wird. Daneben ist der Schriftzug "Face Recognition" geschrieben. / Gesichtserkennung

Bundesinnenminister Thomas de Maizière sprach sich am 11.08.2016 für eine Videoüberwachung mit automatischer Gesichtserkennung in Flughäfen und Bahnhöfen aus. Im Rahmen des Forderungskatalogs zur inneren Sicherheit erhoffen sich die Unionsinnenminister durch diese Maßnahme eine effektivere Terrorbekämpfung und -prävention und somit höhere Sicherheitsstandards. Muss das Datenschutzrecht hinter der präventiven Terrorabwehr zurückstehen? Ist die Entwicklung zum gläsernen Bürger … Weiterlesen …

Datenschutz am Arbeitsplatz

von
Eine Dame meldet sich mit einem Passwort an einem Rechner an. / Datenschutz am Arbeitsplatz

Darf der Arbeitgeber Mitarbeiterdaten einsehen? Man stelle sich folgenden Fall vor: Der Arbeitgeber hat seinen Mitarbeitern Rechnern mit Internetzugang zur Verfügung gestellt, den sie in den Mittagspausen auch privat nutzen dürfen. Nun erhält der Arbeitgeber Hinweise, dass eine Mitarbeiterin das Internet übermäßig privat nutzt und beschließt diesen Hinweisen nachzugehen. Ohne Einwilligung der Mitarbeiterin wertet er den … Weiterlesen …

Transparenter Datenschutz schafft Vertrauen

von
Transparenter Datenschutz

Vorratsdatenspeicherung, Volksverschlüsselung, Datendiebstahl, Bundesdatenschutzgesetz oder Privacy Shield sind Begriffe, die beinahe täglich in den Medien thematisiert werden. Auf diese Weise wird das Thema Datenschutz nicht nur für Unternehmen, sondern auch für Verbraucher zu einem ständigen Begleiter. Das Bewusstsein für die Sensibilität der eigenen Daten wird bei Verbrauchern stetig geschärft und es kommen verstärkt kritische Fragen … Weiterlesen …

Safe Harbor – Endlich verständlich

von
Safe Harbor: Europaflaggen wehen vor einem Hochhaus im Wind.

Viele große Unternehmen wie Facebook, LinkedIn oder PayPal haben ihren Sitz in den USA. Was dürfen US-Unternehmen mit den Daten der EU-Bürger tun? Können US-Behörden auf diese Daten zugreifen? Um diese Fragen und um die rechtliche Regelung der Verarbeitung personenbezogener Daten ging es bei dem Safe Harbor Abkommen. Dieses Abkommen wurde im Jahr 2000 abgeschlossen … Weiterlesen …

Kontakt aufnehmen

Kontakt

  • Adresse: Wilhelm-Kabus-Straße 9, 10829 Berlin
  • Telefon: (+49) 30-20 88 999 0
  • Email: sofortdatenschutz@mip-consult.de
  • Öffnungszeiten: Montag - Freitag 9:00 bis 17:00Uhr
Impressum
Datenschutzinformationen

Downloadbereich

Unser exklusiver Datenschutz-Downloadbereich bietet Ihnen kostenlosen Datenschutz-Arbeitshilfen sowie hilfreich Tipps rund um den Datenschutz für Ihr Unternehmen, zum Downloaden. 

Neueste Blogeinträge

Sitemap

mip Consult GmbH

© Copyright 2021 mip Consult GmbH. All Rights Reserved.