Die Datenschutz-Grundverordnung (DS-GVO) steht bekanntlich vor der Tür (hier die vorläufige deutsche Sprachfassung). Es wird damit gerechnet, dass diese kurzfristig verabschiedet und dann nach einer Übergangsfrist von zwei Jahren Mitte 2018 EU-weit in Kraft treten wird. Damit werden Unternehmen künftig umfassende Dokumentationen zum Datenschutz schaffen müssen – u. a. eine Datenschutz-Folgeabschätzung.
Wenngleich die Verordnung (die im Gegensatz zu Richtlinien keiner Umsetzung in ein nationales Gesetz mehr bedarf) von Datenschutzverfechtern teils sogar noch als zu großzügig kritisiert wird, dürfte sie in Wahrheit nicht weniger als einen Paradigmenwechsel im Datenschutzrecht bedeuten. Denn während das bisherige Recht zwar auf dem Papier sehr streng ist, in der Praxis aber häufig nicht umgesetzt wird, schafft die DS-GVO wirksame Durchsetzungsinstrumente. Zum einen ist dies ein drakonischer Bestrafungsmechanismus (z. B. Bußgelder bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro). Zum anderen sind dies die zahlreichen Dokumentationspflichten, die der Gesetzgeber jedem datenverarbeitenden Unternehmen künftig aufbürdet.
Dokumentationspflichten wie im Compliance-Bereich
Während solche Dokumentationen aus dem Compliance-Bereich mittelbar erforderlich sind, um im Falle eines Rechtsverstoßes aufzeigen zu können, dass das Unternehmen mit kaufmännischer Sorgfalt gehandelt hat, sind die Dokumentationspflichten in der Datenschutz-Grundverordnung generischer Natur. Denn schon die Nichteinhaltung der Dokumentationspflichten als solche begründet den Rechtsverstoß. Selbst wenn das Recht des Betroffenen gar nicht verletzt wird, kann sich die datenverarbeitende Stelle bußgeldpflichtig machen.
Datenschutz-Folgeabschätzung notwendig
Eine solche Dokumentationspflicht ist die sog. „Datenschutz-Folgeabschätzung“. In Art. 33 Abs. 1 DS-GVO wird es künftig heißen:
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Die Verordnung benennt beispielhaft die Verarbeitung von Daten über Straftaten oder Profiling-Maßnahmen, auf deren Grundlage rechtlich erhebliche Entscheidungen getroffen werden (wie etwa beim automatisierten Scoring für Kreditentscheidungen). Weitere Verarbeitungsfälle, in denen eine Datenschutzfolgeabschätzung notwendig ist, können die Aufsichtsbehörden festlegen. Man darf erwarten, dass hiervon Gebrauch gemacht werden wird, wobei sich dann die Frage stellt, ob ein bereits praktiziertes Verfahren nachträglich einer Datenschutzfolgeabschätzung zugeführt werden muss (Art. 33 Abs. 1 spricht ausdrücklich nur von einer „vorab“ durchzuführenden Abschätzung). Dies wird im Zweifel so sein, zumal in der Vorschrift auch die Notwendigkeit einer regelmäßigen Überprüfung betont wird und sich die Pflicht auch ohne ausdrückliche Festlegung durch die Aufsichtsbehörden auf Basis der obigen Generalklausel ergeben wird.
Was dokumentiert werden muss
Was muss nun dokumentiert werden? Das Gesetz nennt folgende Aspekte:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung und – insbesondere soweit die Verarbeitung nicht auf einer Einwilligung beruht – einschließlich der damit verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
- die geplanten Gegenmaßnahmen, um dem Risiko zu begegnen.
Insbesondere der letzte Punkt hat es in sich: Die Verordnung spricht nämlich davon, dass damit der Nachweis dafür erbracht werden soll, dass die Bestimmungen der Verordnung eingehalten werden. Mit anderen Worten: Die verarbeitende Stelle muss mithilfe der Dokumentation den Nachweis erbringen, dass die Datenverarbeitung zulässig ist. Es stellt sich die Frage, ob nicht dokumentierte, tatsächlich aber vorhandene Gegenmaßnahmen für die Frage nach einer Verletzung der DS-GVO überhaupt berücksichtigt werden dürfen. Im Zweifel wird es sich also empfehlen, eher zu umfassend zu dokumentieren.
Fazit und Ausblick
Die Datenschutz-Folgeabschätzung wird Unternehmen vor eine große Herausforderung stellen, die im Zweifel nicht auf die lange Bank geschoben werden sollte. Mit möglichen Umsetzungsansätzen befasst sich ein vom „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ aktuell von veröffentlichtes White Paper.