Verarbeitungen personenbezogener Daten bergen oftmals Risiken, welche identifiziert und eingedämmt werden sollten. Hohe Risiken qualifizieren sich zur besonderen Datenschutz-Folgenabschätzung (DSFA) im engen Austausch mit der zuständigen Aufsichtsbehörde. Unter welchen Voraussetzungen eine Konsultation verpflichtend ist, lesen Sie hier.
Der Inhalt im Überblick
Was ist eine Datenschutz-Folgenabschätzung?
Verantwortliche verarbeiten innerhalb verschiedener Verarbeitungstätigkeiten unzählige personenbezogene Daten. Dabei ist es nicht unüblich, dass trotz einer rechtmäßigen Verarbeitung Risiken für die betroffenen Personen entstehen. Hierbei sieht Art. 35 DSGVO, unabhängig der sonstigen Voraussetzungen an der Verarbeitung explizit eine Datenschutz-Folgenabschätzung voraus.
Mittels einer konkreten Beschreibung des Verarbeitungsvorgangs kann der Prozess verstanden und bewertet werden, um mittels Abhilfemaßnahmen die identifizierten Risiken einzudämmen. Wir haben bereits in der Vergangenheit umfangreicher über den Prozess einer Datenschutz-Folgenabschätzung berichtet.
Voraussetzungen und Folgen einer Konsultation
Grundsätzlich hätten wir geklärt, warum es eine DSFA braucht. Doch wieso sollte die Aufsichtsbehörde angefragt werden, wenn wir bereits Maßnahmen zur Eindämmung eines Risikos getroffen haben. Art. 36 Abs.1 DSGVO gibt vor:
„Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gem. Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.“
Demnach findet Art. 36 DSGVO nach einer wörtlichen Auslegung erst dann Anwendung, wenn
- der Verantwortliche die Bewertung einer risikoreichen Verarbeitung in Form einer Datenschutz-Folgenabschätzung durchgeführt hat,
- die Verarbeitung zudem die Rechte und Freiheiten von Betroffenen möglicherweise verletzten
- der Verantwortliche trotzt fehlender Maßnahmen zur Risikoeindämmung sich dazu entscheidet, die Verarbeitung weiterhin aufrechtzuerhalten.
Hierbei gibt es neben der engen wörtlichen Auslegung eine weitere Meinung, welche den Umfang einer Erforderlichkeit ausweiten würde, da der Umstand der Konsultation sonst lediglich in kleinen Einzelfällen in der Praxis Anwendung findet. Eine weite Auslegung, welche die Argumente des Erwägungsgrundes 94 wiedergibt, qualifiziert ebenfalls eine Konsultationspflicht, wenn sich das Risiko trotz Maßnahmen nicht ausreichend eingrenzen bzw. eindämmen lässt.
Dies würde die Annahme widerlegen, dass innerhalb der Praxis Verantwortliche die wörtlich engere Auslegung bevorzugen, da sie mittels leichter Anpassungen der Maßnahmen eine Konsultation umgehen können. Der Vorwurf einer fehlenden Maßnahme wäre in diesem Fall nichtzutreffend. Sollte das bestehende Risiko jedoch nicht durch verfügbare Mittel ausreichend eingedämmt werden, so wird eine Konsultierung obsolet, leichte Anpassungen könnten das Risiko nicht adäquat minimieren.
Die Einschätzung eines hohen Risikos
Wie bereits beschrieben ist der Begriff des Risikos nicht von einer Datenschutz-Folgenabschätzung wegzudenken. Jedoch benötigt es im ersten Schritt die Erkenntnis, ob ein hohes Risiko vorliegt und eine Datenschutz-Folgenabschätzung notwendig wird. Die DSGVO definiert das Risiko nicht explizit innerhalb eines Artikels, jedoch ist bekannt, dass ein Blick in die Erwägungsgründe ebenfalls Licht ins Dunkle bringen kann. Die Datenschutzkonferenz (DSK) beschreibt beispielhaft wie eine Definition des Risikos nach Erwägungsgrund 75 und 94 hergeleitet werden kann.
„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“
Hierfür stehen zwei Aspekte im Fokus. Erstens die Schwere eines Schadens und zweitens die Wahrscheinlichkeit des Eintritts. Folgende Abstufungen dienen einer Ermittlung der Höhe des Risikos:
- Geringfügig
- Überschaubar
- Substanziell
- Groß
Diese werden insofern benötigt, um im zweiten Schritt mit einer Risikomatrix das Risiko der Verarbeitung final zu ermitteln. Sollten sowohl bei der Eintrittswahrscheinlichkeit als auch bei der Schwere des möglichen Schadens substanzielle Aspekte vorliegen, so kann von einem hohen Risiko ausgegangen werden. Es sollte jedoch beachtet werden, dass dies jeweils für den Einzelfall zu prüfen ist. Zur Orientierung empfehlen wir das Kurzpapier der Datenschutzkonferenz.
Pflicht oder Ausnahme in der Praxis
Natürlich werden innerhalb der DSGVO keine expliziten Sachverhalte beschrieben, bei denen eine Konsultation der Aufsichtsbehörde verpflichtet ist. Und vonseiten der Aufsichtsbehörden gibt es lediglich eine Positivliste, wann eine Datenschutz-Folgenabschätzung durchzuführen ist. Dennoch wird der Artikel 36 DSGVO in der Praxis stiefmütterlich behandelt, da die wörtliche Auslegung seitens der Verantwortlichen präferiert wird. Der aktuelle Umfang der veröffentlichten Informationen zur Konsultation der Aufsichtsbehörde ist durch die enge Auslegung in der Praxis weiterhin niedrig, sodass ebenfalls die Aufsichtsbehörden hierzu kaum Informationen veröffentlichen. Es zeigt, dass die Konsultation aktuell eine Ausnahme ist und keine gängige Praxis darstellt.
