Die sich immer weiter ausbreitende Digitalisierung in allen Lebensbereichen und die sich ständig vermehrenden Möglichkeiten der Datenverarbeitung und Technik machen eine Grundlage an Sicherheit für jeden einzelnen Betroffenen erforderlich. Unternehmen verarbeiten täglich unzählige Daten und sind hierbei auf IT-gesteuerte Verfahren angewiesen, um ihre Aufgaben zu erledigen. Mit der automatisierten Verarbeitung personenbezogener Daten geht jedoch gleichzeitig das Risiko einer rechts- und zweckwidrigen Verarbeitung einher. Von grundlegender Bedeutung ist es hierbei, die Risiken der Datenverarbeitungsprozesse herauszuarbeiten, um technische und organisatorische Maßnahmen hierauf abzustimmen. Diese Risikoanalyse wird anhand der sogenannten Datenschutzfolgenabschätzung im Vorfeld einer Datenverarbeitung vorgenommen.
Eine Datenschutzfolgenabschätzung ist dann durchzuführen, wenn ein Fall des Art. 35 Abs. 3 DSGVO vorliegt, also zum einen wenn automatisierte Verarbeitungen wie Profiling stattfinden, zum anderen wenn speziellen Kategorien von personenbezogenen Daten verarbeitet werden oder öffentlich zugängliche Bereiche überwacht werden. Gemäß Art. 35 Abs. 4 DSGVO muss eine Datenschutzfolgenabschätzung vorgenommen werden, wenn dies durch sogenannte Positiv- oder Negativlisten vorgeschrieben wird. Im Übrigen wird eine Datenschutzfolgenabschätzung notwendig, wenn kritische und sensible Bereiche von einer Datenverarbeitung betroffen sind, also vor allem dann wenn Sozial-, Personal- oder Gesundheitsdaten, die einen erhöhten Schutzbedarf erfordern, verarbeitet werden, also wenn die „(…) Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge (…)“ hat. Zu berücksichtigen sind die Art, der Umfang, die Umstände und der Zweck der Verarbeitung.
Die Datenschutzfolgenabschätzung hat als organisatorische Maßnahme das Ziel, die durch die Datenverarbeitung entstehenden Risiken für die Betroffenen auf ein beherrschbares Maß zu minimieren und dies zu dokumentieren. Die Rechte und Freiheiten sollen vor einer unrechtmäßigen Gefährdung geschützt werden. Hierdurch wird sichergestellt, dass die Verarbeitung die Vorgaben der DSGVO einhält und gleichzeitig wird der Rechenschaftspflicht Rechnung getragen. Durch Art. 35 DSGVO wird also gewährleistet, dass sich der Verantwortliche bei jedem Verarbeitungsprozess damit beschäftigen muss, ob ein hohes Risiko vorliegt oder nicht und bei Bejahung dieser Frage die organisatorischen Mittel hierzu anwenden sollte. Dieser Prozess führt dazu, dass der Sinn und Zweck der Datenschutzfolgenabschätzung, also die Verarbeitung von Daten im Einklang mit der DSGVO, erreicht wird und der Verantwortliche hierfür sensibilisiert wird.
Art. 35 Abs. 7 DSGVO enthält die Mindestanforderungen an eine Datenschutzfolgenabschätzung. Sie soll das Verfahren der Verarbeitung und deren Zweck beschreiben sowie die Notwendigkeit und Verhältnismäßigkeit hervorheben. Weiterhin sollen die Risiken für die Rechte und Freiheiten der betroffenen Person bewertet werden und die Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren beinhalten, welche sicherstellen sollen, dass die DSGVO eingehalten wird.
Gemäß Art. 35 Abs. 2 DSGVO ist zu der Durchführung der Datenschutzfolgenabschätzung und zu der diese betreffenden Beratung ist ein Datenschutzbeauftragter hinzuzuziehen, der Ratschläge hinsichtlich der Vorgehensweise macht. Er spricht lediglich eine Empfehlung aus und überwacht den Prozess, darf aber nicht selbst die Datenschutzfolgenabschätzung durchführen, um eine Doppelrolle zu vermeiden.
Es findet eine Prüfung statt, ob das Grundrecht auf informationelle Selbstbestimmung oder sonstige Grundrechte von Personen durch die Verarbeitung von personenbezogenen Daten betroffen sind. Alle für die persönlichen Daten und die betroffenen Personen bestehenden Risiken müssen festgestellt werden. Hier kommen sowohl interne, externe, menschliche und nichtmenschliche Risikoquellen in Betracht. Es muss in diesem Rahmen jeweils erörtert werden, mit welcher Wahrscheinlichkeit es zum Eintritt von Schäden kommen kann und welche Ursachen hierfür bestehen. Nach der Beurteilung des Bundesamtes für Sicherheit in der Informationstechnik, welche jedoch keine Eintrittswahrscheinlichkeit beachtet, ist ein normales Risiko ist anzunehmen, wenn die Schadensauswirkungen begrenzt und überschaubar sind. Ein hohes Risiko liegt bei beträchtlichen Schadensauswirkungen und ein sehr hohes Risiko bei existentiell bedrohlichen, katastrophalen Ausmaßen vor. Aus Erwägungsgrund 75 der DSGVO geht hervor, dass sowohl die Intensität des Schadens und die Eintrittswahrscheinlichkeit als Gesamtbetrachtung in die Bewertung miteinfließen sollen.
Es werden technische und organisatorische Maßnahmen festgelegt, um die Risiken für die personenbezogenen Daten einzudämmen oder zu eliminieren. Gemäß Art. 25 Abs. 1 DSGVO soll der Verantwortliche „zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen (treffen), (…) die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen“.
Nach Art. 32 Abs. 1 DSGVO müssen technische und organisatorische Maßnahmen getroffen werden, um „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
Es muss also geprüft werden, ob diese Maßnahmen ausreichen, um die Risiken auf ein Level zu vermindern, welches akzeptabel ist oder ob weiterer Handlungsbedarf besteht, oder beispielsweise das Risiko auf einen Dritten, wie eine Versicherung übertragen werden soll. Die technischen und organisatorischen Maßnahmen sind auf die Verarbeitungstätigkeiten abzustimmen.
Zuletzt wird festgestellt, ob Risiken verbleiben, ob eine Verarbeitung unterbleiben muss, das Risiko in Kauf genommen wird oder die Datenschutzaufsichtsbehörde kontaktiert werden soll. Art. 36 Abs. 1 DSGVO bestimmt, dass vor der Verarbeitung die Aufsichtsbehörde kontaktiert werden muss, wenn die Datenschutzfolgenabschätzung ergibt, dass ein hohes Risiko bestehen würde, der Verantwortliche aber keine Maßnahmen zur Eindämmung derselben trifft. Die Aufsichtsbehörde erhält vom Verantwortlichen daraufhin alle relevanten Informationen und nimmt anschließend Stellung.
