DSGVO
Unternehmen sollten Datenschutzrisiken prüfen
von
Nils
Müller - 27.09.2018
Foto: Yuriy Vlasenko / shutterstock.com
Mit der DSGVO müssen Unternehmen vorab das Risiko ihrer Datenverarbeitung bewerten. Ein nützliches Instrument hierfür ist die freiwillige Datenschutz-Folgenabschätzung.
Mit der EU-Datenschutz-Grundverordnung (DSGVO) wurde ein neues Instrument der Selbstkontrolle eingeführt: die sogenannte Datenschutz-Folgenabschätzung (DSFA). Doch nur wenigen Unternehmen ist bekannt, was das genau ist.
Mit einer Datenschutz-Folgenabschätzung wird die Verarbeitung von personenbezogenen Daten beschrieben und bewertet. Das bedeutet, dass die Datenschutzrisiken, die durch die Datenverarbeitung auftreten, bewertet und durch geeignete Gegenmaßnahmen ausreichend eingedämmt werden. Ein Unternehmen belegt mit dieser Folgenabschätzung, dass es geeignete Maßnahmen getroffen hat, um eine regelungskonforme Verarbeitung personenbezogener Daten zu gewährleisten, etwa durch Einführung spezieller Software.
Wer braucht eine DSFA?
Ein Unternehmen hat bei Datenverarbeitungsvorgängen, die ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, eine Folgenabschätzung durchzuführen. Das hohe Risiko kann aus der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung resultieren, insbesondere wenn neue Technologien verwendet werden. In Art. 35 Abs. 3 DSGVO werden Regelbeispiele genannt, bei denen eine Durchführungspflicht besteht, etwa bei der Verarbeitung von Gesundheitsdaten oder einer systematischen Bewertung persönlicher Aspekte natürlicher Personen. Die Datenschutzkonferenz (DSK), ein Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder, hat eine Liste mit Beispielen veröffentlicht, in denen eine Folgenabschätzung erforderlich ist. Sie lässt sich auf der Webseite www.ldi.nrw.de unter „EU-Datenschutzreform, Datenschutz-Folgenabschätzung“ abrufen. Die Liste wurde dem Europäischen Datenschutzausschuss vorgelegt und ist nach Abschluss des Kohärenzverfahrens verbindlich.
Welchen Nutzen hat eine DSFA?
Eine Folgenabschätzung bietet etwa einen Vorteil im Zusammenhang mit dem Betriebsrat. Dieser hat meist ein Mitbestimmungsrecht bei der Software-Einführung. Die Dokumentation zur Folgenabschätzung beschleunigt nach ersten Erfahrungen die Verhandlungen mit dem Betriebsrat und die Einführung von IT, da datenschutzkritische Aspekte, die für Arbeitnehmervertreter von Bedeutung sind, darin bereits abgehandelt sind.
Google Analytics und die DSGVO
Google ist – zumindest nach Ansicht der Aufsichtsbehörden – mit seinem Webseiten-Tracking-Tool Analytics als Auftragnehmer für seine Kunden zu qualifizieren. In der Folge hat jeder Seitenbetreiber, der Analytics einsetzt, mit Google einen Vertrag zur Auftragsverarbeitung abzuschließen. Diesen Vertrag stellt Google Analytics unter „Verwaltung, Kontoeinstellungen“ und „Zusatz zur Datenverarbeitung“ zur Verfügung. Weiterhin ist die Code-Erweiterung „anonymizeIp“ einzusetzen, die die letzten 8 Bit der IP-Adressen der Seitenbesucher löscht und so die IP-Adressen anonymisiert. Ein Hinweis auf Google Analytics in der Datenschutzerklärung der Webseite, einschließlich Hinweis auf das Widerspruchsrecht, runden die datenschutzkonforme Nutzung ab.
Aber Achtung: Nach Ansicht der Aufsichtsbehörden ist eine Einwilligung des Besuchers zur Analytics-Nutzung erforderlich. Bis dato ist das aber noch nicht richterlich bestätigt.
