Wer muss eine Datenschutz-Folgenabschätzung durchführen?
„Der für die Verarbeitung Verantwortliche muss dafür sorgen, dass die DSFA durchgeführt wird (Artikel 35 Absatz 2). Die eigentliche Durchführung der DSFA kann durch eine andere Person erfolgen, entweder unternehmensintern oder per Auslagerung; der für die Verarbeitung Verantwortliche ist jedoch derjenige, der letztlich zur Rechenschaft verpflichtet ist.“[1] Beachten Sie, dass der DSB für eine DSFA in einer beratenden Funktion konsultiert werden muss, aber niemals verantwortlich ist.
Wer sollte an der Durchführung einer Datenschutz-Folgenabschätzung beteiligt sein?
Im Folgenden wird zunächst eine rechtliche Antwort gegeben, die sich auf die Datenschutz-Grundverordnung stützt, und anschließend wird erläutert, wer gegebenenfalls in den Prozess der Folgenabschätzung einbezogen werden muss.
Aus rechtlicher Sicht gibt die Artikel-29-Datenschutzgruppe folgende maßgebliche Hinweise:
- „Der für die Verarbeitung Verantwortliche muss darüber hinaus den Rat des Datenschutzbeauftragten einholen, sofern ein solcher benannt wurde (Artikel 35 Absatz 2). Dieser Rat und auch die Entscheidungen, die von dem für die Verarbeitung Verantwortlichen getroffen werden, müssen in der DSFA dokumentiert werden. Der Datenschutzbeauftragte ist außerdem für die Überwachung der Durchführung der DSFA zuständig (Artikel 39 Absatz 1 Buchstabe c).“[2]
- „Erfolgt die Verarbeitung ganz oder teilweise durch einen Auftragsverarbeiter, muss dieser den für die Datenverarbeitung Verantwortlichen bei der Durchführung der DSFA unterstützen und erforderliche Informationen zur Verfügung stellen (im Sinne von Artikel 28 Absatz 3 Buchstabe f).“[3]
- „Gegebenenfalls“ holt der für die Verarbeitung Verantwortliche „den Standpunkt der betroffenen Personen oder ihrer Vertreter“ ein (Artikel 35 Absatz 9).“[4] Dies kann je nach Kontext verschiedene Formen annehmen, einschließlich allgemeiner Studien, Einbeziehung von Vertretern (wie Verbraucherorganisationen) und Umfragen. Die Einwilligung ist keine gültige Form.
Über diese gesetzlich vorgeschriebene Beteiligung hinaus empfiehlt die Artikel 29-Datenschutzgruppe, alle relevanten Disziplinen (Fachwissen) und Zuständigkeiten (Entscheidungen) abzudecken[5]. Dies kann dazu führen, dass sowohl internes Personal als auch externe Experten einbezogen werden. Dies kann zum Beispiel Folgendes umfassen:
- Die Geschäftseinheit, die die Anwendung nutzt, instruiert die betroffenen Mitarbeiter, trifft Entscheidungen über Speicherfristen, Zugangskontrolle usw.
- Die IT-Abteilung, die die Anwendung und bestimmte technische Schutzmaßnahmen (z. B. Firewalls oder Backup-Systeme) installiert und betreibt.
- Die Personalabteilung kann Sensibilisierungs- und Schulungskampagnen organisieren und Vertraulichkeitsvereinbarungen mit den Mitarbeitern abschließen.
- Die Rechtsabteilung, die spezielle Vertragsklauseln ausarbeitet, um die Pflichten an die Verarbeiter weiterzugeben.
- Das Softwarehaus, das die Anwendung bereitstellt und möglicherweise (Sicherheits-)Updates, Wartung und Weiterentwicklung anbietet.
Wie von der Artikel-29-Datenschutzgruppe für den DSB ausdrücklich festgestellt, wird empfohlen, die Interaktionen mit den beteiligten Parteien, die erteilten Ratschläge und die in der Datenschutz-Folgenabschätzung getroffenen Entscheidungen zu dokumentieren. Dies ist ein wichtiger Aspekt des Nachweises der Einhaltung der Bestimmungen von Artikel 5 Absatz 2 der Datenschutzgrundverordnung.
Quellenangaben
1wp248rev.01, Seite 14, Abschnitt III.D.b, 1. Absatz ↑
2wp248rev.01, Seite 15, Abschnitt III.D.b) 1. Absatz, Hervorhebung durch die Autoren ↑
3wp248rev.01, Seite 15, Abschnitt III.D.b), 2. Absatz, Hervorhebung durch die Autoren ↑
4wp248rev.01, Seite 15, Abschnitt III.D.b), 3. Absatz, Hervorhebung durch die Autoren, Anführungszeichen zur besseren Lesbarkeit geändert. ↑
5wp248rev.01, Seite 15, Abschnitt III.D.b, zweite Hälfte der Seite. ↑