Was kann die Durchführung einer DSFA erleichtern?
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Datenschutz-Folgenabschätzung » Was kann die Durchführung einer DSFA erleichtern?

Im Folgenden sind einige Möglichkeiten aufgeführt, die die Durchführung einer Datenschutz-Folgenabschätzung erleichtern könnten.

  • In einigen Fällen, in denen die Verarbeitung eine Rechtsgrundlage im Unionsrecht oder im Recht der Mitgliedstaaten hat (d. h. Artikel 6 Absatz 1 Buchstabe c oder e DSGVO), hat der Gesetzgeber möglicherweise bereits eine Datenschutz-Folgenabschätzung durchgeführt. In diesem Fall muss die Datenschutz-Folgenabschätzung nicht durchgeführt werden, es sei denn, ein Mitgliedstaat hält eine Datenschutz-Folgenabschätzung für jeden Verantwortlichen für erforderlich oder die Rechtsvorschriften lassen dem Verantwortlichen einen erheblichen Umsetzungsspielraum, der sich auf die Risiken für die betroffenen Personen auswirkt (Einzelheiten siehe Artikel 35 Absatz 10 DSGVO).
    • Ein Beispiel dafür ist das österreichische Gesetz[1] über die „Forschungsorganisation“, das bereits DSFA[2] für seine Artikel vorsieht.
  • „Es gibt Umstände, unter denen es vernünftig und wirtschaftlich sein kann, dass der Gegenstand einer Datenschutz-Folgenabschätzung weiter gefasst wird als ein einzelnes Projekt“ (Erwägungsgrund 90 DSGVO). Dies erleichtert natürlich die einzelnen Verarbeitungstätigkeiten, die sich dann auf die „umfassende Datenschutz-Folgenabschätzung“ beziehen können. Dies wird auch in Artikel 35 Absatz 1 bestätigt, in dem es heißt: „Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“ Die Artikel-29-Datenschutzgruppe gibt hier zusätzliche Hinweise[3], indem sie erklärt: „Mit einer einzigen DSFA können zugleich mehrere ähnliche Verarbeitungsvorgänge im Hinblick auf die Art, den Umfang, die Umstände, den Zweck und die Risiken bewertet werden.“ Weiter heißt es: „Da es das Ziel von Datenschutz-Folgenabschätzungen ist, systematisch neue Situationen zu untersuchen, von denen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ausgehen könnte, ist eine DSFA für bereits untersuchte Fälle (d. h. für in einem bestimmten Zusammenhang und zu einem bestimmten Zweck durchgeführte Verarbeitungsvorgänge) nicht mehr erforderlich.“ In diesen Fällen ist es möglich, auf die „umfassende Datenschutz-Folgenabschätzung” zurückzugreifen oder zumindest große Teile einer individuellen Datenschutz-Folgenabschätzung an diese zu delegieren. Steht eine „umfassende Datenschutz-Folgenabschätzung“ nicht zur Verfügung, kann es immer noch individuelle Datenschutz-Folgenabschätzungen für ähnliche Verarbeitungstätigkeiten geben, die dabei helfen, eine solche selbst durchzuführen.
  • Die Datenschutzgruppe stellt fest: „Eine DSFA kann auch von Nutzen sein, wenn die Auswirkungen eines Technologieprodukts auf den Datenschutz untersucht werden sollen.“[4] Wenn also ein Technologieanbieter bereits eine Datenschutz-Folgenabschätzung durchgeführt hat, bleibt „derjenige für die Datenverarbeitung Verantwortliche, der das Produkt einsetzt, weiterhin zur Durchführung seiner eigenen DSFA unter Berücksichtigung seiner konkreten Umsetzung verpflichtet; dafür können jedoch gegebenenfalls Angaben aus einer vom Produktlieferanten erarbeiteten DSFA verwendet werden.“
  • Die Artikel-29-Datenschutzgruppe weist auf die Möglichkeit hin, dass eine DSFA durch das Vorhandensein branchenspezifischer DSFA-Rahmenbedingungen erleichtert wird: „Die WP29-Gruppe spricht sich für die Erarbeitung branchenspezifischer DSFA-Rahmenbedingungen aus. Grund dafür ist, dass so auf Branchenkenntnisse zurückgegriffen und in der DSFA auf die Besonderheiten einer bestimmten Art von Verarbeitungsvorgängen eingegangen werden kann (z. B.: bestimmte Datentypen, Gesellschaftsvermögen, potenzielle Folgen, Bedrohungen, Maßnahmen).“[5]
  • Eine weitere Möglichkeit zur Erleichterung einer Datenschutz-Folgenabschätzung besteht darin, systematische Ansätze zu nutzen, die für mehrere Verarbeitungstätigkeiten verwendet werden. Artikel 24 Absatz 2 liefert das Beispiel der unternehmensweiten „Datenschutzvorkehrungen“. In Artikel 24 Absatz 3 werden „genehmigte Zertifizierungsverfahren“ (gemäß Artikel 42 DSGVO) und „genehmigte Verhaltensregeln“ (gemäß Artikel 40 DSGVO) hinzugefügt. Letzteres wird auch in Artikel 35 Absatz 8 DSGVO ausdrücklich erwähnt.

 

Quellenangaben

1Siehe Bundesgesetz über allgemeine Angelegenheiten gemäß Art. 89 DSGVO und die Forschungsorganisation (Forschungsorganisationsgesetz – FOG)
StF: BGBl. Nr. 341/1981 idF BGBl. Nr. 448/1981 (DFB) (NR: GP XV RV 214 AB 778 S. 81. BR: S. 413.), https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10009514 (zuletzt besucht am 30.01.2020).

2Siehe Anhänge 4 bis 21.

3wp248rev.01, Seite 7, Abschnitt III. A, 2. Absatz, Hervorhebung von den Autoren hinzugefügt.

4wp248rev.01, Seite 8, Abschnitt III. A, 2. Absatz.

5wp248rev.01, Seite 17, Abschnitt III. D.c)., 2. Absatz.

 

Skip to content