Mit der Einführung der DS-GVO im letzten Jahr gab es zahlreiche Neuerungen sowie Umbenennung von Methoden oder Neubezeichnungen. Eine davon dürfte die Datenschutz-Folgenabschätzung sein.
Während die meisten Personen von einer Datenschutzerklärung gehört haben und dass eine solche, mehr oder weniger sinnvoll, in die eigene Webseite eingebaut werden muss, hört es bei weiteren Instrumenten meist auf. So dürften die wenigsten wissen, dass man als Person, Selbständiger oder Unternehmer, der/die persönliche Daten verarbeitet, ein Verarbeitungsverzeichnis anlegen muss (siehe dazu diesen Artikel).
Das Gleiche dürfte für eine Datenschutz-Folgenabschätzung gelten, die in Art. 35 DS-GVO geregelt ist.
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Aber wer muss eine solche Datenschutz-Folgenabschätzung erstellen? Nun, der relevantes Fall dürfte der sein, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
Eine Positivliste, welche Arten von Datenverarbeitungsvorgängen betroffen sind, findet man in diesem Dokument. Aber Achtung: Das ist keine abschließende Liste.
Ob die Voraussetzungen vorliegen muss nun jeder selber entscheiden. Geht es nach der Auffassung der Datenschutzkommission, ist jedoch die Entscheidung über die Durchführung oder Nichtdurchführung einer Folgenabschätzung mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.
Für typische Onlineshops etc. am relevantesten sind wohl Verarbeitungsvorgänge wie die Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen. Diese könnten anfallen, bei der Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten.
Setzt man als Plugins für WooCommerce oder Shopify ein, die das Kaufverhalten von Kunden analysieren und den Erfolg von Rabattaktionen, wie Black-Friday-Verkäufe, statistisch auswerten und bewerten, ist unter Umständen eine Datenschutz-Folgenabschätzung notwendig.
Übrigens ist eine Datenschutz-Folgenabschätzung kein einmaliger Vorgang. Sollten sich z.B. neue Risiken ergeben, sich die Bewertung bereits erkannter Risiken ändern oder wesentliche Änderungen im Verfahren ergeben, die in der bisherigen Datenschutz-Folgenabschätzung nicht berücksichtigt wurden, so ist die Datenschutz-Folgenabschätzung zu überprüfen und anzupassen.
Die Datenschutz-Folgenabschätzung ist daher in wenig so etwas wie ein Instrument, sich schlicht Gedanken über die eigenen Datenschutzvorgänge Gedanken zu machen und Dinge wie IT-Sicherheit, Menge der Daten, Löschvorgänge, Archivierung, Zugriffsrechte und vieles weiteres ein wenig Gedanken zu machen. Ein paar weitere Hinweise gibt es in diesem Kurzpapier.
Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.
Der u.a. für Rechtsstreitigkeiten über Ansprüche aus der Datenschutz-Grundverordnung zuständige VI. Zivilsenat verhandelt am 8. Oktober 2024 über zwei Revisionen,...
Mehr lesenDetails
Ein IT-Mitarbeiter ist verpflichtet, sensible Kundendaten zu schützen und darf diese nicht zu anderen Zwecken missbrauchen. Ein Verstoß gegen diese...
Mehr lesenDetails
Einleitung Vor kurzem wurde ich von einem befreundeten Steuerberater auf einen interessanten Sachverhalt aufmerksam gemacht. Bei einer Tasse Kaffee erzählte...
Mehr lesenDetails
Das Thema Upwork und Fiverr gehört bei mir auf dem Blog mit zu den beliebtesten Themen. Die Unsicherheit scheint groß....
Mehr lesenDetails
Inzwischen findet man auch bei mir auf dem Blog so einige Ausführungen rund um Rechtsprechung betreffend Influencer. Einfach die Seite...
Mehr lesenDetails
Ist Lasertag als Sport/Freizeitveranstaltung jugendgefährdend? Das ist eine mindestens genauso umstrittene Frage, wie die Frage der Jugendgefährdung von Computerspielen und...
Mehr lesenDetails
Blockchain und die DSGVO - was ist der Zusammenhang? Eine Blockchain ist eine dezentrale Datenbank, die es ermöglicht, Transaktionen sicher...
Mehr lesenDetails
Das Oberlandesgericht Frankfurt am Main hat vor kurzem entschieden, dass in einem Fall, in dem die Teilnahme an einem Gewinnspiel...
Mehr lesenDetails
KI in der Software- und Spieleentwicklung: Potenzial und Fallstricke Die Nutzung von Künstlicher Intelligenz (KI) in der Software- und Spieleentwicklung...
Mehr lesenDetails
Definition und Erscheinungsformen von Catfishing Catfishing bezeichnet das Phänomen, bei dem eine Person im Internet absichtlich eine falsche Identität vortäuscht,...
Mehr lesenDetails
In this fascinating podcast episode, we take a deep dive into the world of artificial intelligence (AI) and its impact...
In this exciting podcast episode, we delve into the fascinating world of IT start-ups and find out why an experienced...
In this captivating episode of my IT Medialaw podcast, I, Marian Härtel, share my personal journey as a passionate IT...
In this exciting episode of our podcast, we take a deep dive into the world of innovative business models. Our...
