Vorsicht ist besser als Nachsicht - die Folgeabschätzung nach der DSGVO

„Vorsicht ist die Mutter der Porzellankiste“. Dies gilt auch sinngemäß für den Datenschutzbereich. Auch rechtmäßige Verarbeitungsprozesse können ein gewisses Risikopotenzial beinhalten, das mit einer Gefahr fürdie Verletzung von persönlichen Daten einhergeht.

So ist es gemäß DSGVO unter bestimmten Voraussetzungen verpflichtend, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Wie und nach welchen Kriterien genau diese zu erfolgen hat und ob eine Risikoeinschätzung allgemein für den Online-Shop vorzunehmen ist, wird im Folgenden näher beschrieben.

Was ist eine DSFA?

Die DSFA ist ein Teilaspekt der sogenannten Rechenschaftspflicht innerhalb der DSGVO. Verarbeitungsprozesse bedürfen einer gründlichen Dokumentation (siehe Verarbeitungsverzeichnis) und unter Umständen auch einer vorherigen Risikoeinschätzung.

Die DSFA ist als ein präventives Instrument zu verstehen, mögliche Verletzungen von personenbezogenen Daten im Vorfeld zu bewerten und mittels sich daran anschließender Maßnahmen einzudämmen oder abzustellen.

Wann ist eine DSFA durchzuführen?

Allgemein ist nach den gesetzlichen Anforderungen eine Datenschutz-Folgeabschätzung vorzunehmen, sofern der einschlägige Verarbeitungsvorgang von personenbezogenen Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Dabei sind auch die Verwendung neuer Technologien, die Art, der Umfang, die Umstände sowie der Zweck der Verarbeitung in die Beurteilung mit einzubeziehen. (Art. 35 Abs. 1 Satz 1 DSGVO).

! Verarbeitungsvorgänge von personenbezogenen Daten sind daher im Vorfeld einer Risikoanalyse zu unterziehen. Weist der Verarbeitungsvorgang ein hohes Risiko auf, ist eine DSFA vorzunehmen. Dies gilt für alle Verarbeitungsprozesse des Unternehmens und nicht nur für den Online-Shop.

Wann besteht ein hohes Risiko?

Die Formulierung „Risiko für die Rechte und Freiheiten natürlicher Personen“ ist einer der Leitsätze der DSGVO.

Ein Risiko besteht beispielsweise dann, wenn die Verarbeitung zu einem physischen, materiellen oder immateriellen Schaden führen könnte (Datenverlust, Diskriminierung, Identitätsdiebstahl, finanzieller Verlust) oder wenn die Verarbeitung eine große Anzahl an personenbezogenen Daten sowie eine große Anzahl an Personen betrifft.

Dieser allgemeine, risikobasierte Ansatz wird durch weitere Regelbeispiele näher konkretisiert (Art. 35 Abs. 3 DSGVO). Danach ist eine DSFA insbesondere in den folgenden Fällen vorzunehmen:

1. Systematische und umfassende Analyse persönlicher Aspekte natürlicher Personen, die auf der automatisierten Verarbeitung einschließlich Profiling beruhen und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen (z.B. umfangreiche Bonitätsprüfungen, Nutzung Erstellung von Persönlichkeitsprofilen);
2. Verarbeitungsprozesse von besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (z.B. rassische, ethnische Herkunft, politische Meinung, Gesundheitsdaten, sexuelle Orientierung etc.);
3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung auf öffentlichen Plätzen)

Allerdings sind auch die genannten Regelbeispiele sehr allgemein verfasst und geben für bestimmte Verarbeitungsprozesse keinen konkreten Aufschluss.

An dieser Stelle kommen die Aufsichtsbehörden ins Spiel. Diese sind gehalten, weitere Anwendungsbereiche zu konkretisieren, für die eine DSFA notwendigerweise erstellt werden muss (Positivliste) oder ggf. entfallen kann (Negativliste). Die Aufsichtsbehörden des Bundes und der Länder haben bereits einen nicht abschließenden Beispielkatalog für den Privatsektor veröffentlicht. Die Auflistung trägt Beispielcharakter, kann jedoch als Auslegungshilfe herangezogen werden.

Anwendungsbereiche der Aufsichtsbehörden für eine DSFA

Als Beurteilungsmaßstab für die Durchführung einer Folgeabschätzung können zum einen die folgenden Punkte eine Hilfestellung bieten, denen ein erhöhtes Risikopotenzial zugrunde liegt:

1. Bewerten oder Einstufen (Auswertung, Analyse, Erstellung von Prognosemodellen)
2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
3. Systematische Überwachung
4. Vertrauliche oder höchst persönliche Daten
5. Datenverarbeitung in großem Umfang
6. Abgleichen oder Zusammenführen von Datensätzen
7. Daten zu schutzbedürftigen Betroffenen
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

Treffen mindestens zwei der dargestellten Punkte für den Verarbeitungsprozess im Unternehmen zu, soll eine DSFA durchgeführt werden. Je nach Einzelfall und Ausgestaltung des Verarbeitungsprozesses kann unter Umständen auch nur die Erfüllung eines der gennannten Punkte für die Erstellung der Folgeabschätzung ausreichend sein.

Zum anderen haben die Aufsichtsbehörden weitere Beispiele für den Anwendungsbereich der DSFA aufgestellt. Für den Online-Handel ist insbesondere bei den folgenden Verarbeitungstätigkeiten eine Folgeabschätzung durchzuführen- 

• wenn durch den Online-Händler (nicht durch einen Dritten/Zahlungsdiensteanbieter) zur Prävention von Betrugsfällen umfassende Datenmengen aus verschiedenen Quellen zusammengeführt und auf deren Grundlage eine Bonitätsprüfung durchgeführt wird, die darüber entscheidet, ob einem Käufer das Zahlungsmittel Rechnung angeboten wir oder nicht; 

• wenn durch den Online-Händler eine umfassende Datenanalyse mittels Zusammenführung von Daten aus verschiedenen Quellen (Kundendaten, Bonitätsdaten, Daten aus der Werbeansprache über soziale Medien einschließlich der vom Betreiber des sozialen Medium bereitgestellten Daten über die angesprochenen Mitglieder) durchgeführt wird, die der Informationsgewinnung und Umsatzsteigerung dient.

Keine umfassende Analyse und damit die Entbehrlichkeit einer DSFA liegt nach Ansicht der Artikel-29-Datenschutzgruppe (unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vor, wenn ein Online-Händler auf seiner Website Werbeanzeigen für Produkte anzeigt, für die eine Profilerstellung auf der Grundlage von Produkten zum Einsatz kommt, die der Nutzer auf der Website des Online-Händlers angesehen oder gekauft hat.

Wie ist die DSFA zu dokumentieren?

Die DSGVO stellt in Art. 35 Abs. 7 allgemeine Mindestanforderungen auf. So ist für die DSFA zumindest folgendes zu dokumentieren:

1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie der Darstellung der Verarbeitungszwecke und gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
2. Bewertung, warum die Verarbeitung notwendig und verhältnismäßig in Bezug auf den Verarbeitungszweck ist
3. Bewertung der Risiken für die betroffenen Personen
4. Darstellung der Abhilfemaßnahmen, um mögliche Risiken einzudämmen und abzuschaffen (Nachweis zur Einhaltung der Vorgaben der DSGVO)

Führt eine DSFA letztlich zu dem Ergebnis, dass ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen besteht und dieses durch entsprechende Maßnahmen nicht eingedämmt werden kann, ist die zuständige Aufsichtsbehörde darüber in Kenntnis zu setzen.

Bestehen keine Abhilfemaßnahmen, um die möglichen Risiken einzudämmen, kann die Aufsichtsbehörde die Verarbeitungstätigkeit auch untersagen.

Fazit:

Die DSFA ist nicht als gesetzlich vorgeschriebene Pflichtaufgabe zu verstehen, sondern vielmehr als ein sinnvolles Instrument zur systematischen Risikoeindämmung.

Die DSFA ist für Verarbeitungsprozesse zu erstellen, die ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen in sich tragen und muss nicht pauschal für den Online-Shop erstellt werden.

Über Verarbeitungsprozesse mit einem hohen Risikopotenzial gibt die Auflistung der Aufsichtsbehörden Auskunft. Doch auch diese ist derzeit noch nicht bindend und auch nicht abschließend, kann jedoch eine erste Auslegungshilfe darstellen.

Darüber hinaus kann eine DSFA Datenpannen vorbeugen, welche Kosten für deren Behebung, Schadensersatzansprüche, einen Imageschaden in der Öffentlichkeit oder ggf. Sanktionen durch die Aufsichtsbehörden nach sich ziehen können.

Hierbei ist jedoch zu beachten, dass die Erstellung einer Folgeabschätzung nicht die rechtmäßige Datenverarbeitung gemäß Artikel 6 DSGVO (z.B. Einwilligung oder Verarbeitung beruhend auf dem berechtigten Interesse) ersetzen kann.

Über den Autor

Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.