Datenschutz-Folgeabschätzung

Wenn Sie Verarbeitungen personenbezogener Daten identifiziert haben, die hohe Risiken für die Rechte und Freiheiten der betroffenen Personen mit sich bringen können, müssen Sie für jede dieser Verarbeitungen eine Datenschutz-Folgenabschätzung (DSFA) durchführen.

Die Datenschutz-Folgenabschätzung ermöglicht:

  • eine datenschutzfreundliche Verarbeitung personenbezogener Daten oder ein datenschutzfreundliches Produkt zu entwickeln,
  • die Auswirkungen auf die Privatsphäre der betroffenen Personen zu bewerten,
  • nachzuweisen, dass die Grundprinzipien der Verordnung eingehalten werden.

Die Herausforderung besteht darin, die Risiken für den Datenschutz aus der Sicht der betroffenen Personen zu beurteilen.

1. Was sind die Ziele eine Datenschutz-Folgeabschätzung (DSFA)?

Wenn ein Verarbeitungsvorgang wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, ist die für die Verarbeitung verantwortliche Stelle verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen.

DSFAs sind Werkzeuge, die dabei helfen, die Datenschutzrisiken neuer Projekte zu identifizieren und zu minimieren. Sie sind Teil Ihrer Rechenschaftspflichten unter der DSGVO und leisten einen wichtigen Beitrag zum Ansatz "Datenschutz durch Technik" und "Datenschutz durch Voreinstellungen".

Eine DSFA hilft Ihnen, Probleme frühzeitig zu erkennen und anzugehen, die Einhaltung der Datenschutzverpflichtungen zu demonstrieren, die Erwartungen der Menschen in Bezug auf die Privatsphäre zu erfüllen und trägt dazu bei, eine möglicherweise eintretende Rufschädigung zu vermeiden.

Zu diesem Zweck ist es wichtig, DSFAs in die organisatorischen Abläufe der Einrichtung zu integrieren und sicherzustellen, dass die Ergebnisse die Pläne der Einrichtung beeinflussen.

In einigen Fällen verlangt die DSGVO zwingend die Umsetzung einer DSFA, aber DSFAs können auch in anderen Situationen nützlich sein.

2. Was versteht man unter Rechte und Freiheiten natürlicher Personen?

Der Verweis auf die Rechte und Freiheiten natürlicher Personen zielt in erster Linie auf den Datenschutz und den Schutz der Privatsphäre ab, erstreckt sich aber gegebenenfalls auch auf andere Grundrechte wie die Redefreiheit, die Gedankenfreiheit, die Freizügigkeit, das Diskriminierungsverbot, das Recht auf Freiheit sowie die Gewissens- und Religionsfreiheit.

3. Wann muss man eine Datenschutz-Folgeabschätzung durchführen?

Eine DSFA ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt.

Eine DSFA ist insbesondere in den folgenden Fällen erforderlich:

  1.  die systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf deren Grundlage Entscheidungen getroffen werden, die für eine natürliche Person rechtliche Folgen nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen;
  2. die groß angelegte Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 Absatz 1 (DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 (DSGVO); oder
  3. die systematische, groß angelegte Überwachung eines öffentlich zugänglichen Bereichs.

Eine DSFA kann auch auf freiwilliger Basis durchgeführt werden, um selbst geringe Risiken für die Rechte und Freiheiten natürlicher Personen zu ermitteln und bestmöglich zu behandeln.

Wir empfehlen Ihnen, die Leitlinien der Europäischen Arbeitsgruppe der Datenschutzbehörden zur Datenschutz-Folgenabschätzung und zur Bestimmung, ob die Verarbeitung "wahrscheinlich ein hohes Risiko mit sich bringt", zu konsultieren.

 

Beispiele:

Beispiele von Verarbeitungen

Kriterium “Hohes Risiko?”

DSFA notwendig ?

Ein Krankenhaus verarbeitet die Gesundheits- und die genetischen Daten seiner Patienten (informatisches System des Krankenhauses).

  • Sensible Daten
  • Daten betreffend verwundbare Personen
  • Verarbeitung im großen Maßstab

Ja

Die Benutzung von Überwachungskameras um das Fahrverhalten auf Autobahnen zu überwachen. Der für die Verarbeitung Verantwortliche beabsichtigt ein intelligentes Videoanalysesystem zu benutzen um eine automatische Erkennung der Nummernschilder zu ermöglichen.

  • Systematische Überwachung
  • Technologische oder organisatorische innovative Lösungen

Ja

Ein Unternehmen überwacht die Nutzung von Computern: Internet, E-Mails, Computer, Software,...

  • Systematische Überwachung
  • Daten betreffende verwundbare Personen

Ja

Ein Online-Magazin, das eine Mailingliste nutzt, um seinen Abonnenten eine tägliche Zusammenfassung der Nachrichten zu schicken.

  • Kein erhöhtes Risiko

Nein

Eine E-Commerce-Website zeigt Anzeigen für Autozubehör an, indem sie begrenztes Profiling auf der Grundlage der letzten Einkäufe verwendet.

  • Bewertung oder Benotung, aber nicht systematisch oder ausführlich

Nein

4. Worauf kann sich die Datenschutz-Folgeabschätzung beziehen?

Eine DSFA kann sich auf einen einzelnen Datenverarbeitungsvorgang beziehen, und sie kann auch dazu verwendet werden, mehrere ähnliche Datenverarbeitungsvorgänge hinsichtlich ihrer Art, ihres Umfangs, ihres Kontexts, ihrer Zwecke und ihrer Risiken zu bewerten.

5. Was muss eine Datenschutz-Folgeabschätzung beinhalten?

Die folgenden Kriterien können von den für die Verarbeitung Verantwortlichen verwendet werden, um festzustellen, ob eine bestimmte DSFA oder DSFA-Methode für die Zwecke der Einhaltung der Anforderungen der DSGVO ausreichend vollständig ist:

  • Es wird eine systematische Beschreibung der Verarbeitung vorgelegt (Artikel 35 Absatz 7 Buchstabe a):
    • Die Art, der Umfang, der Kontext und die Zwecke der Verarbeitung werden berücksichtigt (Erwägungsgrund 90);
    • Die betroffenen personenbezogenen Daten, die Empfänger und die Dauer, für die die personenbezogenen Daten aufbewahrt werden, werden angegeben;
    • Eine funktionale Beschreibung des Verarbeitungsvorgangs wird bereitgestellt;
    • die Vermögenswerte, auf denen die personenbezogenen Daten beruhen (Hardware, Software, Netzwerke, Personen, Papierdokumente oder Papierübertragungskanäle), werden identifiziert;
    • die Einhaltung vereinbarter Verhaltenskodizes wird berücksichtigt (Artikel 35 Absatz 8);
  • Die Notwendigkeit und Verhältnismäßigkeit werden bewertet (Artikel 35 Absatz 7 Buchstabe b)):
    • die geplanten Maßnahmen zur Gewährleistung der Einhaltung der Verordnung werden festgelegt (Artikel 35 Absatz 7 Buchstabe d und Erwägungsgrund 90), wobei zu berücksichtigen sind:
      • Maßnahmen, die zur Einhaltung der Grundsätze der Verhältnismäßigkeit und der Notwendigkeit der Verarbeitung beitragen und auf den folgenden Anforderungen beruhen:
        • Bestimmte, eindeutige und rechtmäßige Zwecke (Artikel 5 Absatz 1 Buchstabe b)];
        • Rechtmäßigkeit der Verarbeitung (Artikel 6);
        • Angemessene, relevante und auf das erforderliche Maß beschränkte Daten (Artikel 5 Absatz 1 Buchstabe c);
        • begrenzte Speicherdauer (Artikel 5 Absatz 1 Buchstabe e));
      • Maßnahmen, die zu den Rechten der betroffenen Personen beitragen:
        • Informationen, die der betroffenen Person zur Verfügung gestellt werden (Artikel 12, 13 und 14);
        • Auskunftsrecht und Recht auf Datenübertragbarkeit (Artikel 15 und 20);
        • Recht auf Berichtigung und das Recht auf Löschung (Artikel 16, 17 und 19);
        • Widerspruchsrecht und Recht auf Einschränkung der Verarbeitung (Artikel 18, 19 und 21);
        • Beziehungen zu Auftragsverarbeitern (Artikel 28);
        • Garantien für die internationale(n) Übermittlung(en) (Kapitel V);
        •  vorherige Konsultation (Artikel 36);
  • Die Risiken für die Rechte und Freiheiten der betroffenen Personen werden gehandhabt (Artikel 35 Absatz 7 Buchstabe c):
    • Ursprung, Art, Besonderheit und Schwere der Risiken werden bewertet (Erwägungsgrund 84) oder, spezifischer, für jedes Risiko (unrechtmäßiger Zugang zu Daten, unerwünschte Änderung von Daten, Verschwinden von Daten) aus der Sicht der betroffenen Personen;
      • Die Risikoquellen werden berücksichtigt (Erwägungsgrund 90);
      • Die potenziellen Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen werden bei Ereignissen wie unrechtmäßigem Zugriff auf Daten, unerwünschter Änderung von Daten oder deren Verschwinden ermittelt.
      • Bedrohungen, die zu einem unrechtmäßigen Zugriff auf Daten, einer unerwünschten Veränderung der Daten oder ihrem Verschwinden führen könnten, werden identifiziert;
      • Die Wahrscheinlichkeit und der Schweregrad werden bewertet (Erwägungsgrund 90);
      • Die geplanten Maßnahmen zur Bewältigung dieser Risiken werden festgelegt (Artikel 35 Absatz 7 Buchstabe d und Erwägungsgrund 90);
  • Die betroffenen Parteien werden einbezogen:
    • Die Stellungnahme des Datenschutzbeauftragten wird eingeholt (Artikel 35 Absatz 2);
    • Gegebenenfalls wird die Meinung der betroffenen Personen oder ihrer Vertreter eingeholt (Artikel 35 Absatz 9).
6. Ich habe von der Datenschutzkommission unter Anwendung des abgeänderten Gesetzes vom 2. August 2002 eine Genehmigung für die Durchführung einer Datenverarbeitung erhalten. Muss ich eine Datenschutz-Folgeabschätzung durchführen?

Die Pflicht zur Durchführung einer DSFA gilt für bestehende Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen verursachen können und bei denen sich die damit verbundenen Risiken unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung geändert haben.

Wenn die Durchführung von Verarbeitungsvorgängen im Rahmen eines Antrags auf Vorabgenehmigung von der CNPD genehmigt wurde und sich diese Durchführung von Verarbeitungsvorgängen seit der Vorabkontrolle nicht geändert hat, ist es nicht zwingend erforderlich, eine DSFA durchzuführen.

Umgekehrt bedeutet dies, dass jede Datenverarbeitung, deren Durchführungsbedingungen (Umfang, Zweck, erfasste personenbezogene Daten, Identität der für die Verarbeitung Verantwortlichen oder der Datenempfänger, Dauer der Datenspeicherung, technische und organisatorische Maßnahmen usw.) sich seit der Erteilung der Genehmigung durch die CNPD geändert haben und wahrscheinlich ein hohes Risiko mit sich bringen, Gegenstand einer DSFA sein muss.

Darüber hinaus kann eine DSFA erforderlich sein, nachdem sich die Risiken, die sich aus den Verarbeitungsvorgängen ergeben, verändert haben, z. B. durch den Einsatz neuer Technologien oder die Verwendung personenbezogener Daten für andere Zwecke. Verarbeitungsvorgänge können sich schnell ändern, und es können neue Schwachstellen entstehen. Daher ist zu beachten, dass die Überarbeitung einer DSFA nicht nur im Sinne einer kontinuierlichen Verbesserung sinnvoll ist, sondern auch wesentlich ist, um das Datenschutzniveau in einem sich im Laufe der Zeit verändernden Umfeld aufrechtzuerhalten. Eine DSFA kann auch aufgrund von Veränderungen im organisatorischen oder gesellschaftlichen Kontext der Verarbeitungstätigkeit erforderlich werden, z. B. wenn sich herausstellt, dass die Auswirkungen bestimmter automatisierter Entscheidungen zugenommen haben oder neue Kategorien von betroffenen Personen anfällig für Diskriminierung zu sein scheinen. In jedem dieser Beispiele kann der betreffende Faktor zu einer Veränderung der Risiken führen, die sich aus der betreffenden Verarbeitungstätigkeit ergeben.

Umgekehrt können bestimmte Entwicklungen auch die Risiken verringern. Ein Beispiel hierfür ist, dass sich ein Verarbeitungsvorgang so entwickelt hat, dass die Entscheidungsfindung nicht mehr automatisiert ist, oder dass eine Überwachungstätigkeit nicht mehr systematisch erfolgt. In diesen Fällen kann die Risikoüberprüfung ergeben, dass eine DSFA nicht mehr erforderlich ist.

7. Wann muss eine Organisation ihre Datenschutz-Folgeabschätzung für eine Vorabkonsultation bei der CNPD einreichen?

Wenn sich in der Risikoanalyse für die Rechte und Freiheiten der betroffenen Personen der DSFA ein (oder mehrere) unbehandeltes hohes Restrisiko ergibt, muss die Organisation die CNPD konsultieren, welche eine Stellungnahme zu der geplanten Verarbeitung und ihrem Risikomanagement abgeben wird (Vorabkonsultation).

Die Verarbeitung darf nicht durchgeführt werden, bevor die Stellungnahme der CNPD eingegangen ist und ggf. die Empfehlungen der Stellungnahme umgesetzt wurden.

8. Welche Information müssen im Rahmen einer Vorabkonsultation bereitgestellt werden?

Der Antrag auf Vorabkonsultation muss zusammen mit dem beigefügten Formular für die Einreichung einer Folgenabschätzung an die CNPD übermittelt werden. Es ist zwingend erforderlich, dass die Folgenabschätzung alle Zulässigkeitskriterien aus dem Abschnitt "2. Kriterien für die Zulässigkeit einer Datenschutz-Folgenabschätzung" des Formulars behandelt.

Fehlende Kriterien können dazu führen, dass die Frist für die Bearbeitung der DSFA ausgesetzt wird, bis die CNPD die fehlenden Informationen vom für die Verarbeitung Verantwortlichen erhalten hat.

Die CNPD kann alle weiteren Informationen anfordern, die für die Beurteilung der DSFA relevant sind.

9. Wie kann eine Datenschutz-Folgeabschätzung an die CNPD übermittelt werden?

Der Antrag auf Vorabkonsultation ist an die E-Mail-Adresse: aipd@cnpd.lu zu senden.

Sie können den beigefügten Verschlüsselungsschlüssel verwenden, um die Vertraulichkeit Ihrer Dokumente bei der Übertragung zu gewährleisten.

10. Wie geht die CNPD vor nachdem sie eine Datenschutz-Folgeabschätzung erhalten hat?

Die CNPD analysiert die Handhabung des mit der DSFA verbundenen Restrisikos.

Sie verfügt über eine Frist von höchstens acht Wochen nach Eingang des Konsultationsantrags, um dem für die Verarbeitung Verantwortlichen, gegebenenfalls dem Auftragsverarbeiter, eine schriftliche Stellungnahme zukommen zu lassen. Diese Frist kann je nach Komplexität der geplanten Verarbeitung um 6 Wochen verlängert werden.

Die CNPD informiert den für die Verarbeitung Verantwortlichen und gegebenenfalls den Auftragsverarbeiter innerhalb eines Monats nach Erhalt des Konsultationsantrags über die Verlängerung der Frist sowie über die Gründe für die Verzögerung. Diese Fristen können ausgesetzt werden, bis die CNPD die Informationen erhalten hat, die sie für die Zwecke der Konsultation angefordert hat.

11. Wie in welchen Abständen sollte man seine Datenschutz-Folgeabschätzung neu bewerten?

Eine DSFA sollte nicht als einmalige Übung betrachtet werden. Eine DSFA ist ein fortlaufender Prozess, der Ihnen hilft, die mit Datenverarbeitungen verbundenen Risiken und die ergriffenen Maßnahmen zu verwalten und zu überprüfen. Es ist wichtig, Änderungen im Blick zu behalten und die DSFA neu zu bewerten, wenn sich im Kontext der Verarbeitung etwas ändert.

Wenn Sie wesentliche Änderungen daran vornehmen, wie oder warum personenbezogene Daten verarbeitet werden, oder an der Menge der gesammelten Daten, müssen Sie nachweisen, dass Ihre DSFA die neuen Risiken bewertet, die mit diesen Änderungen verbunden sind.

12. Muss man seine Datenschutz-Folgeabschätzung veröffentlichen?

Die Veröffentlichung einer DSFA ist in der DSGVO nicht vorgeschrieben.

Die Veröffentlichung einer Zusammenfassung einer DSFA kann jedoch zur Transparenz der betreffenden Verarbeitung und zur Stärkung des Vertrauens der betroffenen Personen in die Wahrung ihrer Rechte und Freiheiten beitragen.

Definitionen:

  • "Neue Technologien": Verarbeitung, die den Einsatz neuer Technologien oder neuer Anwendungen bestehender Technologien (z. B. künstliche Intelligenz) beinhaltet.
  •  "Tracking einer Person": Eine Verarbeitung, die das Tracking des Standortes oder des Verhaltens von Personen beinhaltet, einschließlich, aber nicht beschränkt auf die Online-Umgebung.
  •  "Targeting von Kindern": die Verwendung personenbezogener Daten von Kindern für Marketingzwecke, Profiling oder automatisierte Entscheidungen oder die Absicht, Kindern direkt online Dienstleistungen anzubieten.

Dernière mise à jour