DSGVO: In 4 Schritten zum Verzeichnis der Verarbeitungstätigkeiten (Teil 4)
Seite 3 / 3DSGVO: Datenschutz-Folgenabschätzung
Als wenn das Verzeichnis der Verarbeitungstätigkeiten nicht schon kompliziert genug wäre, müssen Unternehmen ihre Verarbeitungstätigkeiten in bestimmten Fällen einem Stresstest unterziehen (Art. 35 DSGVO). Das ist der Fall, wenn:
- Profiling als Grundlage für schwerwiegende Entscheidungen, wie zum Beispiel Bonitätsbeurteilung, eingesetzt wird.
- im großen Umfang sensible Daten verarbeitet werden (betreffend gemäß Art. 9 DSGVO, unter anderem zu Sexualität, Gesundheit, politischer Gesinnung, Biometrie etc. und Straftaten).
- Videoüberwachung eingesetzt wird.
In diesen Fällen müssen Unternehmen die möglichen Risiken aufzählen und in einem Bericht darlegen, wie sie diese abwenden können. Ist dies nicht möglich, müssen sie eine Meldung an die zuständige Datenschutzaufsichtsbehörde erstatten. Die geprüfte Verarbeitungstätigkeit muss permanent evaluiert und aktuell gehalten werden.
Angenommen, der Newsletter im obigen Beispiel würde zum Beispiel an Mitglieder eines Gesundheitsportals versendet werden, die Inhalte wären individuell auf die angegebenen Krankheiten und Beschwerden der Nutzer zugeschnitten und deren Link-Klickverhalten würde, wie bei Newslettern üblich, protokolliert werden. Dann ist eine Datenschutz-Folgenabschätzung zu empfehlen (da es sich um Gesundheitsdaten handelt) und würde beispielsweise für das Risiko eines unerlaubten Zugriffs auf die Datenbank wie folgt (vereinfacht und zusammenfassend) aussehen:
| Risiko: | Unbefugter Zugriff auf die Datenbank |
| Datenkategorien zur Folgenabschätzung: | Gesundheitsdaten |
| Betroffene: | Newsletterempfänger |
| Einstufung des Risikos (physisch, materiell, immateriell): | Eintrittswahrscheinlichkeit: normal.
Schaden für Betroffene: erhöht (Spam, Phishing, etc.) an E-Mail-Adresse; soziale Nachteile aufgrund des Bekanntwerdens von Krankheiten. |
| Schutzmaßnahmen: | Hard- und Softwarefirewall, sofortige Updates der Soft- und Hardware, aktueller Stand der Technik, Intrusion Detection Systeme, Berechtigungskonzept und Passwortmanagement, besondere Belehrung der Beschäftigten, zugesicherte Schutzmaßnahmen des Webhosters, Information der Nutzer. |
| Risiko hinreichend gebannt (Abwägung mit verbleibenden Risiken): | Das Risiko ist hinreichend gebannt, die verbleibenden Risiken sind verhältnismäßig:
Als mildere Maßnahme bietet sich die Datenminimierung (Art. 5 Abs. 2 DSGVO) durch Verzicht auf statistische Erhebungen des Leseverhaltens an. Es handelt sich jedoch gerade um die Kernfunktion, die mit einer Vorselektion von relevanten Informationen einen besonderen Nutzern für die Empfänger bietet. Ferner werden Nutzer auf die Analyse hingewiesen und in der Datenschutzerklärung ausführlich informiert. Daher kann die auf Art. 6 Abs. 1 lit. a und f DSGVO gestützte Funktion beibehalten werden, ohne die Rechte der Nutzer zu verletzen. |
| Freigabe erteilt: | Ja |
Fazit
Falls du jetzt denkst, dass der Datenschutz im Unternehmen genauso kompliziert geworden ist wie die Abgabe der Steuererklärung, dann hast du Recht.
Denk bitte daran, dass das Verzeichnis der Verarbeitungstätigkeiten turnusmäßig (mindestens einmal im Jahr) und bei Änderungen aktualisiert werden muss. Ferner wird es bei Unternehmen mit mehreren Beschäftigten und einer Vielzahl von Verarbeitungsprozessen häufig wirtschaftlich sinnvoller sein, Fachleute zu beauftragen. Vor allem wenn eigene Datenschutzkapazitäten fehlen, können externe Datenschutzbeauftragte oder spezialisierte Rechtsanwälte bei der Befolgung all der Rechenschaftspflichten Unterstützung leisten. Im Fall der aufwendigen Datenschutz-Folgenabschätzung wird dies sicher notwendig sein.
Ob sich das Datenschutzniveau durch die Formalisierung des Datenschutzes steigert, werden wir mit der Zeit sehen. Angesichts des Aufwandes ist es zu hoffen.
Im letzten Teil dieser Beitragsreihe wird es um zwei weitere wichtige Aspekte des täglichen Geschäfts gehen: die Übermittlung von Daten an Dritte, die Rechte der Nutzer und Datenschutzerklärungen.
Linkliste
- Datenschutzkonforme Datenverarbeitung nach der EU-Datenschutz-Grundverordnung BITKOM 30.05.2017 mit Leitfäden zum Verarbeitungsverzeichnis und zur Datenschutz-Folgenabschätzung.
- Kurzpapiere zum Verzeichnis von Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung bei der Niedersächsischen Aufsichtsbehörde.
- Themenseite Datenschutz-Grundverordnung bei der Rheinland-Pfälzischen Aufsichtsbehörde.
- Liste von Datenkategorien der Nationalen Kommission für den Datenschutz.
- Hinweise zum Verzeichnis von Verarbeitungstätigkeiten der Aufsichtsbehörde in Sachsen-Anhalt
Bisheriger Teile der DSGVO-Beitragsreihe
Teil 1 – DSGVO: Diese Änderungen kommen auf dein Online-Business zu
Teil 2 – DSGVO: Welche Daten du nutzen darfst – und welche nicht
Teil 3 – DSGVO: So holst du Einwilligungen richtig ein
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Das was dann dabei letztendlich herauskommt:
AntwortenKleine Firmen werden Ihre Online-Auftritte technisch und rechtlich in Ausland verlagern. Europa sei Dank sollte das kein großes Problem sein. Ich freue mich schau auf eine neue Geschäftsidee.
Auslagern wird leider nichts, da diese Regelung auch bei Geschäften mit der EU gilt. Höchsten in die USA könnte man dann gehen. Ich fürchte eher, dass einige kleinere und mittelständische Unternehmen künftig komplett dicht machen können…
AntwortenBeispiele von Kategorien Betroffener
sowie
Beispiele von Datenkategorien
ist identisch!
Antworten