In der folgenden wissenschaftlichen Ausarbeitung werden die Besonderheiten und Merkmale der Vorabkontrolle nach § 4d V BDSG und der DSFA nach Art. 35 DS-GVO dargestellt, um anschließend die Gemeinsamkeiten und Unterschiede der beiden Instrumente näher betrachten zu können. Ziel der Arbeit ist es, ein Verständnis über den Ablauf und die Funktionsweise der Vorabkontrolle und der DSFA zu schaffen, um eine effektive Umsetzung der DSFA in der Praxis zu gewährleisten.
In unserer Welt wird die Digitalisierung und die damit verbundene Vernetzung immer bedeutsamer. Heutzutage nehmen die Online Verträge oder Mitgliedschaften in sozialen Netzwerken, sowie die Speicherung von personenbezogenen Daten zu. Die rechtlichen Grundlagen für die Erhebung und Verarbeitung von personenbezogenen Daten enthielt bisher nur das Bundesdatenschutzgesetz. Mit der neuen EU Datenschutzgrundverordnung, die zum 27.04.2016 erlassen worden ist und am 25.05.2018 in Kraft tritt, erfährt das BDSG eine umfassende Ergänzung und Änderung. Die Umsetzung der in der DGSVO enthaltenen Vorschriften wird die Unternehmen vor eine schwierige Aufgabe stellen, insbesondere die kleinen oder mittelständischen Unternehmen. Die Neuerungen und Anpassungen zwischen der DS-GVO und dem BDSG sind sehr weitläufig und speziell. Eine von diesen Änderungen ist die Datenschutz-Folgenabschätzung (nachfolgend DSFA), nach Art.35 DS-GVO, die die bisherige Vorabkontrolle nach § 4d V BDSG ersetzen soll.
Inhaltsverzeichnis
A. Einführung
B. Vorabkontrolle
I. Grundsatz der Durchführungspflicht
1. Automatisierte Verarbeitungen
2. Besondere Risiken
II. Vorabkontrolle-Verpflichteter
III. Umfang der Durchführung
IV. Ausnahmen der Vorabkontrolle
1. Gesetzliche Verpflichtung
2. Einwilligung
3. Durchführung oder Beendigung eines Schuldverhältnisses
V. Rechtsfolgen unterlassener Vorabkontrolle
C. Datenschutz-Folgenabschätzung
I. Zuständigkeit
II. Durchführungspflicht
1. Hohes Risiko
2. Fälle zwingender Datenschutz-Folgenabschätzung
3. Positivliste der Aufsichtsbehörden
III. Ausnahmen von Durchführungspflicht
IV. Mindestanforderungen an die Datenschutz-Folgenabschätzung
1. Systematische Beschreibung der Verarbeitungsvorgänge Art.35 VII lit a
2. Bewertungsphase Art.35 VII lit b
3. Maßnahmephase
V. Rechtsfolgen bei Verstoß
D. Vergleich zwischen Datenschutz-Folgenabschätzung und Vorabkontrolle
I. Gemeinsamkeiten
II. Unterschiede
E. Fazit
Zielsetzung und thematische Schwerpunkte
Die Arbeit analysiert das Instrument der Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DS-GVO im Vergleich zur bisherigen Vorabkontrolle nach § 4d BDSG a.F. Ziel ist es, die Funktionsweise beider Instrumente darzustellen, Gemeinsamkeiten sowie Unterschiede herauszuarbeiten und Empfehlungen für eine effektive Umsetzung der DSFA in der Unternehmenspraxis zu geben.
- Rechtliche Grundlagen der Vorabkontrolle und DSFA
- Kriterien für die Durchführungspflicht (hohes Risiko)
- Methodische Mindestanforderungen an die DSFA-Durchführung
- Rolle des Datenschutzbeauftragten und der Aufsichtsbehörden
- Konsequenzen bei Verstößen und Sanktionsrisiken
Auszug aus dem Buch
1. Hohes Risiko
Gemessen an dem Wortlaut des Art.35 I DS-GVO gilt es eine DSFA immer dann durchzuführen, wenn die Verarbeitung auf Basis der Bewertungskriterien Art, Umfang, Umstände oder Zweck i.S.v Erwägungsgrund 76 voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet. Es genügt hierbei bereits, dass ein Bewertungskriterium die Gefahr eines voraussichtlich hohen Risikos prognostiziert, z.B. wenn der Umfang der Datenverarbeitung ein Risiko auslösen kann. Was als Risiko betrachtet wird und wann dieses als hoch einzustufen ist, definiert die DS-GVO jedoch nicht.
Dies führt bei Unternehmen zu Rechtsunsicherheiten, da nicht klar festgestellt werden kann, wann ein Risiko vorliegt. Doch wie definiert sich ein Risiko? Greift man auf den allgemeinen Sprachgebrauch zurück, versteht man meist unter einem Risiko eine Prognose über die Eintrittswahrscheinlichkeit eines physischen, materiellen oder immateriellen Schadens oder den Entfall eines Vorteils bei einer Entscheidung. Überträgt man das auf das Risiko i.S.d Art.35 kann man annehmen, dass die Komponenten Eintrittswahrscheinlichkeit und Umfang des Schadens für die Freiheitsrechte natürlicher Personen, entscheidend sind. Als bekannte Risiken, die mit der Datenverarbeitung verbunden sind, gelten Diskriminierung, Diebstahl von Identitäten, finanzielle Verluste und Rufschädigung vgl. Erwägungsgrund 75 (Risikokatalog). Wann das Risiko als hoch eingeschätzt wird, ist von den Umständen abhängig.
Zusammenfassung der Kapitel
A. Einführung: Die Einleitung beleuchtet die zunehmende Digitalisierung und die daraus resultierende Notwendigkeit, personenbezogene Daten unter der neuen DS-GVO zu schützen, wobei die DSFA als zentrales neues Instrument eingeführt wird.
B. Vorabkontrolle: Dieses Kapitel erläutert die bisherige Regelung zur Vorabkontrolle nach § 4d BDSG, inklusive der Prüfungskriterien für automatisierte Verarbeitungen und der Rolle des betrieblichen Datenschutzbeauftragten.
C. Datenschutz-Folgenabschätzung: Hier werden die Voraussetzungen, Zuständigkeiten und Mindestanforderungen für die Durchführung einer DSFA nach Art. 35 DS-GVO detailliert analysiert.
D. Vergleich zwischen Datenschutz-Folgenabschätzung und Vorabkontrolle: Dieser Abschnitt gegenüberstellt beide Instrumente, um Gemeinsamkeiten im Anwendungsbereich sowie fundamentale Unterschiede in der Systematik und dem Sanktionsregime aufzuzeigen.
E. Fazit: Die Arbeit schließt mit einer zusammenfassenden Einschätzung und Empfehlungen für Geschäftsführer, die DSFA als proaktives Instrument zur Risikominimierung zu etablieren.
Schlüsselwörter
Datenschutz-Folgenabschätzung, DSFA, Vorabkontrolle, BDSG, DS-GVO, Art. 35, Datenschutzbeauftragter, hohes Risiko, Datenverarbeitung, Rechtmäßigkeit, Sanktionen, Compliance, Risikobewertung, Automatisierung, Datenschutzrecht
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt die datenschutzrechtlichen Anforderungen an die Überprüfung risikoreicher Datenverarbeitungsprozesse, speziell den Übergang von der Vorabkontrolle nach dem alten BDSG zur Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutzgrundverordnung.
Was sind die zentralen Themenfelder der Arbeit?
Die zentralen Felder umfassen die Definition von Risiken in der Datenverarbeitung, die methodischen Phasen einer DSFA sowie die veränderten Verantwortlichkeiten von Unternehmen und Aufsichtsbehörden.
Was ist das primäre Ziel der Forschungsarbeit?
Ziel ist es, ein Verständnis für den Ablauf und die Funktionsweise der DSFA zu vermitteln, um Unternehmen eine effektive und gesetzeskonforme Umsetzung in der Praxis zu ermöglichen.
Welche wissenschaftliche Methode wird verwendet?
Es handelt sich um eine rechtswissenschaftliche Ausarbeitung, die durch die Analyse von Gesetzesnormen, Erwägungsgründen und fachspezifischer Kommentarliteratur die Merkmale der Datenschutzinstrumente herleitet.
Was wird im Hauptteil der Arbeit behandelt?
Der Hauptteil gliedert sich in eine Darstellung der alten Vorabkontrolle, eine detaillierte Prüfung der DSFA-Anforderungen sowie einen direkten Rechtsvergleich beider Instrumente.
Welche Schlüsselwörter charakterisieren die Arbeit?
Die Arbeit lässt sich primär über die Begriffe DSFA, DS-GVO, Risikobewertung, Compliance und Vorabkontrolle charakterisieren.
Welche Rolle spielt die Aufsichtsbehörde bei der neuen DSFA?
Im Vergleich zur Vorabkontrolle ist die Aufsichtsbehörde bei der DSFA deutlich stärker involviert, insbesondere durch die Pflicht zur Erstellung von Positivlisten für risikoreiche Verarbeitungsvorgänge.
Was sind die Konsequenzen einer fehlerhaften DSFA?
Ein wesentlicher Unterschied zur alten Vorabkontrolle ist, dass Verstöße gegen die Pflicht zur DSFA nun mit empfindlichen Bußgeldern gemäß Art. 83 DS-GVO sanktioniert werden können.
- Quote paper
- Hassan Mo (Author), 2018, Folgenabschätzung vs. Vorabkontrolle beim Datenschutz, Munich, GRIN Verlag, https://www.grin.com/document/1131929
