Datenschutz-Grundverordnung (DSGVO)

Wann müssen wir eine Risiko-Folgenabschätzung vornehmen?

Die bisherige Vorab-Kontrolle nach dem BDSG entfällt und zukündig ist eine vorherige Folgenabschätzung vorzunehmen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen haben wird.

Diese Pflicht wird voraussichtlich nicht für schon vor Inkrafttreten der DSGVO bestehende Verarbeitungen gelten. Das wird das neue Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) regeln, dass das zukünftige Datenschutzrecht auf nationaler Ebene sein wird. Es liegt bislang nur im Entwurf vor, so dass noch nichts Definitives gesagt werden kann. In der Gesetzesbegründung zu § 61 des Entwurfs heißt es jedoch bislang, dass bestehende Verarbeitungen nicht erneut untersucht werden müssen.

Eine Risiko-Folgenabschätzung ist zum Beispiel vorzunehmen, bei systematischen Bewertungen der Persönlichkeit einschließlich Profilings als Grundlage für Entscheidungen mit Rechtswirkung oder bei der Verarbeitung besonders sensitiver Daten wie z. B. Gesundheitsdaten.

Diese Punkte gehören u.a. in eine Folgenabschätzung:

  • Ablauf und Zweck der Verarbeitungsverfahren;
  • Notwendigkeit und Verhältnismäßigkeit der einzelnen
  • Verarbeitungsverfahren;
  • Risiken für die Betroffenen;
  • Technische und organisatorische Maßnahmen zur
  • Gewährleistung der Datensicherheit.

 

Neu sind Konsultationspflichten bei der Folgenabschätzung:

  • Ggf. muss der Standpunkt der Betroffenen zu der beabsichtigten Verarbeitung eingeholt werden;
  • Gibt es einen Datenschutzbeauftragten, ist dessen Rat bei Durchführung der Datenschutz-Folgenabschätzung einzuholen;
  • Ergibt die Abschätzung ein hohes Risiko für die Betroffenen, ohne dass Maßnahmen zur Eindämmung des Risikos getroffen sind, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren.

 

Auch bezüglich etwaig erforderlicher Risiko-Folgenabschätzungen sollten Sie bereits jetzt tätig werden. Legen Sie ein Team und die Zuständigkeiten fest. Nach der DSGVO muss die fachverantwortliche Stelle im Unternehmen ggf. den Rat des Datenschutzbeauftragten einholen. Aber auch hier gilt trotzdem: Die Haftung bleibt beim Verantwortlichen.

Passen Sie den Prozess der bisherigen Vorab-Kontrolle an und überarbeiten Sie vorhandene Checklisten und Dokumentationen.

Fragen? Sprechen Sie uns an!

RESMEDIA MAINZ - Anwälte
für IT-IP-Medien
Am Winterhafen 78
55131 Mainz
Telefon: + 49 6131 144 56-0
Telefax: + 49 6131 144 56-20
E-Mail: mainz(at)res-media.net

RESMEDIA BERLIN - Anwälte
für IT-IP-Medien
Märkisches Ufer 28
10179 Berlin
Telefon: +49 30 285058-56   
Telefax: +49 30 285058-57   
E-Mail: berlin(at)res-media.net

Kontakt aufnehmen