Datenschutz-Folgenabschätzung nach der Datenschutz-Grundverordnung Helmut Eiermann Stellv. Landesbeauftragter / Leiter Bereich Technik

Derzeit: Vorabkontrolle § 4d BDSG […] (5) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn 1.besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder 2.die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten […] (6) Zuständig für die Vorabkontrolle ist der Beauftragte für den Datenschutz.

Datenschutz-Folgenabschätzung Art. 35 DS-GVO (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. […] Risikoanalyse/-bewertung Dokumentation (Art. 5 (2)) Dokumentation

Datenschutzfolgeabschätzung Risikoanalyse (Risiko: hoch) Art. 35 (3) Risiko = Eintrittswahrscheinlichkeit x Schadenshöhe

Art. 35 (3) - Datenschutzfolgeabschätzung unabhängig von einer konkreten Risikoanalyse (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

Besondere Kategorien personenbezogener Daten Art. 9 DS-GVO (1) … personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. […]

Art. 35 (3) - Datenschutzfolgeabschätzung unabhängig von einer konkreten Risikoanalyse (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

9 Kriterien für ein voraussichtlich hohes Risiko: Kernpunkte WP 248 9 Kriterien für ein voraussichtlich hohes Risiko:  Bewertung / Scoring  Automatisierte Entscheidungen  Systematische Überwachung  Sensible Daten (Art. 9, 10 DS-GVO)  Umfangreiche Verarbeitung  Zahl Betroffener  Datenumfang  Dauer der Verarbeitung/Speicherung  Geografische Reichweite https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/wp248rev01_de.pdf

Kriterien für ein voraussichtlich hohes Risiko: Kernpunkte WP 248 Kriterien für ein voraussichtlich hohes Risiko:  Verknüpfung von Datenbeständen, die zu unterschiedlichen Zwecken erhoben wurden  Verarbeitung von Daten schutz- bedürftiger/abhängiger Personen (z.B. Beschäftigte, Patienten, Alte, Schutzsuchende)  Innovative Verarbeitungstechniken (z.B. Gesichtserkennung, -analyse)  Hinderung an Rechtsausübung, Nutzung einer Dienstleistung oder Vertragsdurch- führung (z.B. Auskunfteien) Bei 2 zutreffenden Kritereien: DSFA!

Datenschutzfolgeabschätzung Risikoanalyse Sicherheits- Konzept (Risiko: hoch) Datenschutzfolgeabschätzung Verarbeitungsvorgänge ( Art. 30) Mindestinhalte nach Art. 35 (7) Verarbeitungszwecke Bewertung Rechte + Freiheiten Betroffener Abhilfemaßnahmen Bewertung Notwendigkeit + Verhältnismäßigkeit

Rechte und Freiheiten betroffener Personen Kernpunkte WP 248 Rechte und Freiheiten betroffener Personen  Recht auf Schutz personenbezogener Daten (Art. 8 ( EU GR-Charta)  Recht auf Achtung des Privat- und Familienlebens (Art. 7 EU GR-Charta)  Meinungs- und Informationsfreiheit (Art. 11 EU GR-Charta)  Gedanken-, Gewissens- und Religionsfreiheit (Art. 10 EU GR-Charta)  Nichtdiskriminierung (Art. 21 EU GR-Charta)

Das Standard-Datenschutzmodell Gewährleistungsziele: IT-Grundschutz  Verfügbarkeit  Integrität  Vertraulichkeit  Datensparsamkeit (Datenumfang & Datenminimierung)  Transparenz (Dokumentation & Nachvollziehbarkeit)  Nichtverkettbarkeit (Berechtigungskonzept & Zweckbindung)  Intervenierbarkeit (Betroffenenrechte & Löschung)

Das Standard-Datenschutzmodell Gewährleistungsziele Datenschutz-Grundverordnung Verfügbarkeit Art. 20, 32 Integrität Art. 5, 32 Vertraulichkeit Art. 5, 25, 32 Datensparsamkeit Art. 5, 25, 32 Transparenz Art. 5, 32 Nichtverkettbarkeit Art. 5, 25, 32 Intervenierbarkeit Art. 5, 25, 32

Zuordnung Gewährleistungsziele  Regelungen der DS-GVO Zuordnung Gewährleistungsziele  Erwägungsgründe der DS-GVO

Standard-Datenschutzmodell als Methodik im WP 248

Das Standard-Datenschutzmodell Datenschutzfolgenabschätzung: Welche Folgen ergeben sich durch die vorgesehene Verarbeitung für die im Standard-Datenschutzmodell genannten Gewährleistungsziele?

Datenschutzfolgeabschätzung Risikoanalyse Sicherheits- Konzept (Risiko: hoch) Datenschutzfolgeabschätzung Verarbeitungsvorgänge ( Art. 30) Mindestinhalte nach Art. 35 (7) Verarbeitungszwecke Bewertung Rechte + Freiheiten Betroffener Abhilfemaßnahmen Bewertung Notwendigkeit + Verhältnismäßigkeit  Datensparsamkeit  Verfügbarkeit  Integrität  Vertraulichkeit  Nichtverkettbarkeit (Zweckbindung)  Transparenz  Intervenierbarkeit (Betroffenenrechte)

Kernpunkte WP 248 – Bestehende Verarbeitungen  Eine DSFA ist für bestehende Datenverarbeitungen dann nicht durchzuführen, wenn diese einer Vorabkontrolle unterzogen wurden und sich keine wesentlichen Änderungen ergeben haben (III.C).  Eine DSFA ist für bestehende Datenverarbeitungen durchzuführen, wenn sich seit der Vorabkontrolle Änderungen ergeben haben, die voraussichtlich mit einen hohen Risiko verbunden sind (III.C).

Kernpunkte WP 248 - Sonstiges  Eine DSFA kann für mehrere Datenverarbeitungstätigkeiten durchgeführt werden, die nach Art, Reichweite, Kontext, Zweck und Risiken vergleichbar sind (III.A).  Eine DSFA sollte regelmäßig überprüft werden (III.C).  Bei der Durchführung einer DSFA ist der (interne) Datenschutzbeauftragte gemäß Art. 35 (2) DS-GVO zu beteiligen. Dessen Empfehlungen sind zu dokumentieren (III.D.b).

Neu! Bußgeld.

EU DSGVO Art. 30 Datenschutzfolgeabschätzung

datenschutz.rlp.de

datenschutz.rlp.de

datenschutz.rlp.de

Helmut Eiermann Stellvertretender Landesbeauftragter für den Datenschutz und die Informationsfreiheit Leiter Bereich Technik Postanschrift: Postfach 30 40 55020 Mainz Büroanschrift: Hintere Bleiche 34 55116 Mainz Telefon: +49 (6131) 208-2226 Telefax: +49 (6131) 208-2497 E-Mail: h.eiermann@datenschutz.rlp.de Web: www.datenschutz.rlp.de