Art.35 – EU-DSGVO – Datenschutz-Folgenabschätzung

> Art.35 - EU-DSGVO - Datenschutz-Folgenabschätzung

Art.35 - DSGVO - Datenschutz-Folgenabschätzung

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015 

 Stand: 27.04.2016

(ehem. Art. 33)

Benennung eines Datenschutzbeauftragten

 Benennung eines Datenschutzbeauftragten

 Benennung eines Datenschutzbeauftragten

Datenschutz-Folgenabschätzung

1. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter benennen einen Datenschutzbeauftragten, falls

a) die Verarbeitung durch eine Behörde oder eine öffentliche Einrichtung erfolgt; oder

b) die Bearbeitung durch ein Unternehmen erfolgt, das 250 oder mehr Mitarbeiter beschäftigt, oder

c) die Kerntätigkeit des für die Verarbeitung erantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

1. Der für die Verarbeitung Verantwortliche und der  Auftragsverarbeiter benennen einen Datenschutzbeauftragten, falls

a) die Verarbeitung durch eine Behörde oder eine öffentliche Einrichtung erfolgt; oder

b) die Verarbeitung von einer juristischen Person durchgeführt wird und sich auf mehr als 5 000 betroffene Personen innerhalb eines Zeitraumes von zwölf aufeinanderfolgenden Monaten bezieht; oder

c) die Kerntätigkeit des für die  Verarbeitung Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen; oder

d) die Kernaktivitäten des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 Absatz 1, Standortdaten, Daten über Kinder oder Arbeitnehmerdaten in groß angelegten Ablagesystemen bestehen.

1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter kann – bzw. sofern im Unionsrecht oder im nationalen Recht vorgesehen, muss – einen Datenschutzbeauftragten benennen.

a) (entfällt)

1. Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden

2. Im Fall des Absatzes 1 Buchstabe b darf eine Gruppe von Unternehmen einen gemeinsamen Datenschutzbeauftragten ernennen.

2. Eine Gruppe von Unternehmen kann einen Hauptdatenschutzbeauftragten ernennen, wenn sichergestellt ist, dass von jedem Standort aus ein Datenschutzbeauftragter leicht zugänglich ist.

2. Eine Gruppe von Unternehmen darf einen gemeinsamen Datenschutzbeauftragten ernennen.

2. Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

3. Falls es sich bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder um eine öffentliche Einrichtung handelt, kann der Datenschutzbeauftragte unter Berücksichtigung der Struktur der Behörde beziehungsweise der öffentlichen Einrichtung für mehrere Bereiche benannt werden.

3. Falls es sich bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder um eine öffentliche Einrichtung handelt, kann der Datenschutzbeauftragte unter Berücksichtigung der Struktur der Behörde beziehungsweise der öffentlichen Einrichtung für mehrere Bereiche benannt werden.

3. Falls es sich bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder um eine öffentliche Einrichtung handelt, kann für mehrere solcher Behörden oder Einrichtungen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.

3. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
     

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

4. In anderen als den in Absatz 1 genannten Fällen können der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Gremien, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen.

4. In anderen als den in Absatz 1 genannten Fällen können der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Gremien, die Kategorien von für die Verarbeitung Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen.

 4. (entfällt)

4. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

5. Der für die Verarbeitung Verantwortliche oder derAuftragsverarbeiter benennt den Datenschutzbeauftragten nach Maßgabe der beruflichen Qualifikation und insbesondere des Fachwissens, das dieser auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie nach Maßgabe von dessen Fähigkeit zur Erfüllung der in Artikel 37 genannten Aufgaben. Der Grad des erforderlichen Fachwissens richtet sich insbesondere nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten.

5. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter benennt den Datenschutzbeauftragten nach Maßgabe der beruflichen Qualifikation und insbesondere des Fachwissens, das dieser auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken besitzt, sowie nach Maßgabe von dessen Fähigkeit zur Erfüllung der in Artikel 37 genannten Aufgaben. Der Grad des erforderlichen Fachwissens richtet sich insbesondere nach der Art der durchgeführten Datenverarbeitung und des erforderlichen Schutzes für die von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten.

5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 37 genannten Aufgaben, namentlich des Nichtvorhandenseins von Interessenkonflikten.

5. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlichb ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass etwaige sonstige berufliche Pflichten des Datenschutzbeauftragten mit den Aufgaben und Pflichten, die diesem in seiner Funktion als Datenschutzbeauftragter obliegen, vereinbar sind und zu keinen Interessenkonflikten führen.

6. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass etwaige sonstige berufliche Pflichten des Datenschutzbeauftragten mit den Aufgaben und Pflichten, die diesem in seiner Funktion als  Datenschutzbeauftragter obliegen, vereinbar sind und zu keinen Interessenkonflikten führen.

 6. (entfällt)

6. Vor Festlegung der in den Absätzen 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.

7. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter benennt einen Datenschutzbeauftragten für einen Zeitraum von mindestens zwei Jahren. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt.

7. Der für die Verarbeitung
Verantwortliche oder der
Auftragsverarbeiter benennt einen Datenschutzbeauftragten für einen
Zeitraum von mindestens vier Jahren im
Fall eines Arbeitnehmers oder zwei
Jahren im Fall eines externen
Dienstleisters. Der Datenschutzbeauftragte kann für weitere Amtszeiten wiederernannt werden. Während seiner Amtszeit kann der
Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die
Voraussetzungen für die Erfüllung seiner Pflichten nicht mehr erfüllt.

7. Während seiner Amtszeit kann der Datenschutzbeauftragte seines Postens nur enthoben werden, wenn er die Voraussetzungen für die Erfüllung seiner Aufgaben gemäß Artikel 37 nicht mehr erfüllt, außer es liegen schwerwiegende Gründe nach dem Recht des betreffenden Mitgliedstaats vor, die eine Entlassung eines Beschäftigten oder Bediensteten rechtfertigen.

7. Die Folgenabschätzung enthält zumindest Folgendes:
     

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen

8. Der Datenschutzbeauftragte kann durch den für die Verarbeitung Verantwortlichen oder durch den Auftragsverarbeiter beschäftigt werden oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

8. Der Datenschutzbeauftragte kann durch den für die Verarbeitung Verantwortlichen oder durch den Auftragsverarbeiter beschäftigt werden oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

8. Der Datenschutzbeauftragte kann Beschäftigter des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

8. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

9. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter teilt der Aufsichtsbehörde und der Öffentlichkeit den Namen und die Kontaktdaten des Datenschutzbeauftragten mit.

9. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter teilt der Aufsichtsbehörde und der Öffentlichkeit den Namen und die Kontaktdaten des Datenschutzbeauftragten mit.

9. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

9. Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

10. Betroffene Personen haben das Recht, den Datenschutzbeauftragten zu allen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten stehenden Fragen zu Rate zu ziehen und die Wahrnehmung ihrer Rechte gemäß dieser Verordnung zu beantragen.

10. Betroffene Personen haben das Recht, den Datenschutzbeauftragten zu allen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten stehenden Fragen zu Rate zu ziehen und die Wahrnehmung ihrer Rechte gemäß dieser Verordnung zu beantragen.

10. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

10. Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

11. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Anforderungen für die in Absatz 1 Buchstabe c genannte Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters sowie die Kriterien für die berufliche Qualifikation des in Absatz 5 genannten Datenschutzbeauftragten estzulegen.

 11. (entfällt)  11. (entfällt) 11. Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

 <<ZURÜCK   Übersicht   VOR >>

Erwägungsgründe: 84, 89 bis 93

Änderungsanträge: Website des Europäischen Parlaments
Bewertungen der Änderungsanträge: LobbyPlag

Die Datenschutzfolgeabschätzung kommt zum Teil der deutschen Vorabprüfung nach 4d ABs. 5 BDSG gleich, z.T. wird sie in verschiedenen Ländern als „Data Privacy Impact Analysis (DPIA)“ oder schlicht PIA praktiziert, etwa in UK seit 2007 und Frankreich seit 2015.
Während jedoch eine PIA klassischerweise die Daten im Hinblick darauf untersucht, welcher Schutzbedarf durch die Nutzung der Daten durch einen Angreifer entsteht und draus Maßnahmen entlang den klassischen IT-Sicherheitszielen ableitet, ist die Datenschutz-Folgeabschätzung umfassender: es sollen generell die Risiken für den Betroffenen bewertet werden. Als möglicher „Angreifer“ im Sinne einer Grundrechtsverletzung gilt hier auch die verantwortliche Stelle und nicht nur ein fiktiver Dritter. Diese Anschätzung der Risiken dient als Basis für etwaige Maßnahmen.

 

Im Gegensatz zur Vorabkontrolle des BDSG kennt die Datenschutz-Folgenabschätzung auch technologisch-abhängige Anwendungsbereiche:

  • jegliche „systematischer und umfassender Auswertung persönlicher Aspekte von natürlichen Personen, darunter insbesondere wohl Profiling, Rating, Scoring und etwaigen Big Data-Analysen, sowie sonstigen automatisierten Entscheidungen, die Einfluss auf geschäftliche Entscheidungen des Betroffenen haben oder sonstwie gravierend in seine Rechte eingreifen.
  • Verarbeitung besonderer Daten personenbezogener Daten (z.B. Gesundheitsdaten etc.) nach Art. 9 EU-DSGVO oder Daten über strafrechtliche Verurteilungen/Straftaten nach Artikel 10 EU-DSGVO
  • Weiträumiger Überwachung öffentlich zugänglicher Bereiche unabhängig von der Technologie, sicherlich aber einschließlich Videoüberwachung
  • Die Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten, sowie die verarbeitung personenbezogener Daten von mehr als 5.000 Betroffenen in einem durchgängigen 12-Monatszeitraum wurde im finalen Text gestrichen.
  • Weitere Fälle, in denen eine Datenschutz-Folgeabschätzung zwingend durchzuführen ist oder auf bei denen darauf verzichtet werden kann, können durch die Aufsichtsbehörden beschlossen werden (Art. 35 Abs. 4 und 5 EU-DSGVO).

Vgl. auch Erwägungsgrund 91!

Nicht zur Folgeabschätzung verpflichtet: Rechtsanwälte, Ärzte und Angehörige des Gesundheitsberufs, vgl. EG 91 S. 4,5.

Anders als im BDSG für die Vorabkontrolle liegt die Zuständigkeit für die Durchführung der Datenschutz-Folgeabschätzung nicht beim Datenschutzbeauftragten, sondern bei der verantwortlichen Stelle. Sofern allerdings ein Datenschutzbeauftragter bestellt ist, ist dieser nach Abs. 2 zwingend an der Datenschutz-Folgenabschätzung zwingend zu beteiligen. Diese Regelung der EU-DSGVO macht einerseits Sinn aufgrund der geringen Anzahl von Unternehmen mit Verpflichtung nach Art. 37 EU-DSGVO einen Datenschutzbeauftragten zu bestellen, wird anderseits auch nicht förderlich sein für die Wirksamkeit der Vorschrift.

 

Mindest-Inhalte der Datenschutz-Folgeabschätzung sind nach Art. 35 Abs. 7 EU-DSGVO:

  • eine systematische Beschreibung der Prozesse und deren Absicht (Zwecke) inkl. der verfolgten Interessen
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit
  • eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
  • die zur geplanten Maßnahmen zur Risikominimierung

Interessantes Whitepaper dazu von Forum-Privatfreiheit (Mai 2016)

Handreichung zur Datenschutz-Folgeabschätzung (PIA) bei RFID-Projekten (2011)

Leitfaden zu Risk-Assessment und Datenschutz-Folgeanschätzung des Branchenverbandes bitkom e.V., insbes. Abb. 6 auf Seite 39 ggf. hilfreich

Draft Working-Paper 248 der Art.29-Gruppe zu Data Protection Impact Assessments

(Visited 44.646 times, 1 visits today)

Kommentar


Anmerkungen

Schreibe einen Kommentar