Die Datenschutz-Grundverordnung (DSGVO) sieht für bestimmte Hochrisiko-Verarbeitungen personenbezogener Daten die Pflicht vor, eine Datenschutz-Folgenabschätzung (DSFA) vorzunehmen. In der Praxis ist das häufiger der Fall, als man auf den ersten Blick denken könnte. Nicht erst bei Videoüberwachungen, sondern bereits bei alltäglichen Vorgängen in Unternehmen wie der Nutzung von Microsoft 365 oder anderer Cloud-Dienste kann eine DSFA erforderlich sein. Auch die Umsetzung neuer Pflichten zum Schutz von Whistleblowern, die sich aus dem neuen Hinweisgeberschutzgesetz ergeben, machen regelmäßig eine DSFA erforderlich.
Microsoft 365 und andere Cloud-Dienste
Der Einsatz von Microsoft 365 ist in öffentlichen Stellen und Unternehmen weiterhin datenschutzrechtlich zulässig, wenn bestimmte Vorkehrungen getroffen werden. Das gilt auch für viele andere Cloud-Dienste. Allein der Umfang der verarbeiteten Daten und die datenschutzrechtlichen Risiken, die der Einsatz von Cloud-Diensten mit sich bringt, machen jedoch häufig eine DSFA erforderlich, die zugleich als elementarer Baustein der Datenschutz-Compliance dienen kann.
Whistleblowing
Viele Unternehmen beschäftigt zurzeit der Datenschutz bei der Umsetzung des Hinweisgeberschutzgesetzes. Bereits bei mehr als 50 Beschäftigten besteht die Pflicht, interne Meldewege einzurichten. Unternehmen mit in der Regel 50 bis 249 Beschäftigten haben dafür Zeit bis zum 17. Dezember 2023. Für alle anderen besteht die Verpflichtung bereits drei Monate nach der Verkündung des Gesetzes im Bundesgesetzblatt. Meldungen von Whistleblowern können sensible Daten in Bezug auf den Hinweisgeber selbst, aber auch auf die Personen, denen mögliche Gesetzesverstöße angelastet werden, enthalten. Insbesondere wenn interne Meldewege digital ausgestaltet sind, ist daher eine DSFA sinnvoll und im Regelfall gesetzlich erforderlich.
Was droht Unternehmen bei Nichtdurchführung?
Wird eine DSFA nicht durchführt, obwohl sie gesetzlich erforderlich ist, drohen Bußgelder der Datenschutzaufsichtsbehörden. Gegen einen Automobilhersteller wurde im Jahr 2022 beispielsweise wegen mehrerer Datenschutzverstöße ein Bußgeld in Höhe von 1,1 Millionen Euro verhängt. Einer der gerügten Datenschutzverstöße war eine fehlende DSFA. Darüber hinaus ist es im wohlverstandenen Eigeninteresse von Unternehmen, bei riskanten Verarbeitungen eine DSFA durchzuführen. Bei Ermittlungen und Rückfragen der Datenschutzaufsichtsbehörden liegt mit einer DSFA eine umfangreiche Dokumentation vor, mit der die Datenschutz-Compliance im Unternehmen nachgewiesen werden kann.
Die Datenschutz-Folgenabschätzung in der Praxis
In Art. 35 Abs. 7 DSGVO ist explizit geregelt, was die Abschätzung enthalten muss. Dazu gehört mindestens eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der Verhältnismäßigkeit und der Risiken für die betroffenen Personen sowie geplante Abhilfemaßnahmen, um die Risiken zu bewältigen. Weitere Informationen dazu finden Sie in unserem Onepager zur erfolgreichen Durchführung von Datenschutz-Folgenabschätzungen.
zurück