Datenschutz-Folgenabschätzung: Was ist das?

Mit der Einführung der DS-GVO im letzten Jahr gab es zahlreiche Neuerungen sowie Umbenennung von Methoden oder Neubezeichnungen. Eine davon dürfte die Datenschutz-Folgenabschätzung sein.

Wichtigste Punkte

Einführung der DS-GVO brachte zahlreiche Neuerungen und die Datenschutz-Folgenabschätzung.
Verarbeitungsverzeichnis ist für Personen, Selbständige und Unternehmer mit persönlichen Daten erforderlich.
Art. 35 DS-GVO regelt die Datenschutz-Folgenabschätzung bei hohem Risiko für Rechte natürlicher Personen.
Schriftliche Dokumentation ist notwendig, wenn eine Folgenabschätzung durchgeführt oder nicht durchgeführt wird.
Onlineshops sollten bei der Erstellung von Kundenprofilen eine Datenschutz-Folgenabschätzung in Betracht ziehen.
Eine Folgenabschätzung ist kein einmaliger Vorgang; sie muss regelmäßig überarbeitet werden.
Sie dient als Instrument zur Verbesserung von Datenschutzvorgängen und IT-Sicherheit.

Während die meisten Personen von einer Datenschutzerklärung gehört haben und dass eine solche, mehr oder weniger sinnvoll, in die eigene Webseite eingebaut werden muss, hört es bei weiteren Instrumenten meist auf. So dürften die wenigsten wissen, dass man als Person, Selbständiger oder Unternehmer, der/die persönliche Daten verarbeitet, ein Verarbeitungsverzeichnis anlegen muss (siehe dazu diesen Artikel).

Das Gleiche dürfte für eine Datenschutz-Folgenabschätzung gelten, die in Art. 35 DS-GVO geregelt ist.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Aber wer muss eine solche Datenschutz-Folgenabschätzung erstellen? Nun, der relevantes Fall dürfte der sein, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.

Eine Positivliste, welche Arten von Datenverarbeitungsvorgängen betroffen sind, findet man in diesem Dokument. Aber Achtung: Das ist keine abschließende Liste.

Ob die Voraussetzungen vorliegen muss nun jeder selber entscheiden. Geht es nach der Auffassung der Datenschutzkommission, ist jedoch die Entscheidung über die Durchführung oder Nichtdurchführung einer Folgenabschätzung mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.

Für typische Onlineshops etc. am relevantesten sind wohl Verarbeitungsvorgänge wie die Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen. Diese könnten anfallen, bei der Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten.

Setzt man als Plugins für WooCommerce oder Shopify ein, die das Kaufverhalten von Kunden analysieren und den Erfolg von Rabattaktionen, wie Black-Friday-Verkäufe, statistisch auswerten und bewerten, ist unter Umständen eine Datenschutz-Folgenabschätzung notwendig.

Übrigens ist eine Datenschutz-Folgenabschätzung kein einmaliger Vorgang. Sollten sich z.B. neue Risiken ergeben, sich die Bewertung bereits erkannter Risiken ändern oder wesentliche Änderungen im Verfahren ergeben, die in der bisherigen Datenschutz-Folgenabschätzung nicht berücksichtigt wurden, so ist die Datenschutz-Folgenabschätzung zu überprüfen und anzupassen.

Die Datenschutz-Folgenabschätzung ist daher in wenig so etwas wie ein Instrument, sich schlicht Gedanken über die eigenen Datenschutzvorgänge Gedanken zu machen und Dinge wie IT-Sicherheit, Menge der Daten, Löschvorgänge, Archivierung, Zugriffsrechte und vieles weiteres ein wenig Gedanken zu machen. Ein paar weitere Hinweise gibt es in diesem Kurzpapier.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.