Neues von der DSGVO: Das Privacy Impact Assessment

31.05.2017 von

Nach Artikel 35 Datenschutzgrundverordnung (DS-GVO)  wird für bestimmte Verfahren künftig eine sogenannte Datenschutz-Folgeabschätzung erforderlich sein. Hinter diesem sperrigen Begriff verbirgt sich die Pflicht für Unternehmen zunächst einzuschätzen, ob ihre Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten von Personen hat. Im Falle eines solchen hohen Risikos ist dann in einem weiteren Schritt eine detaillierte Folgeabschätzung erforderlich. Die Pflicht wird insbesondere Unternehmen treffen, die neue Technologien verwenden, wie etwa Home Assistenten oder Tracking Tools, da bei diesen die Risiken für Betroffene potenziell besonders groß ist.


„Risiko“ bedeutet in diesem Kontext aber keine Risikoabschätzung im Sinne einer kaufmännischen Betrachtung der Haftungsrisiken für das Unternehmen. Vielmehr soll nach den Neuerungen durch die DS-GVO nach dem Willen der EU jede Datenverarbeitung vor allem aus der Sicht des Betroffenen evaluiert und angegangen werden. Hiermit ist somit das Risiko für Rechte und Freiheiten für den Einzelnen durch die Datenverarbeitung gemeint, insbesondere in eigenen Persönlichkeitsrechten betroffen zu werden. Solche Einschnitte in Rechte Betroffener werden im Kontext der Datenverarbeitung häufig auch als „Privacy Impact“ bezeichnet.
Artikel 35 DS-GVO impliziert eine zweistufige Prüfung. Einerseits sollen die verarbeitenden Stellen dazu angehalten werden, überhaupt eine Einschätzung über den „Impact“ vorzunehmen (Haben Betroffene voraussichtlich ein hohes Risiko?) und in einem zweiten Schritt nach den gesetzlichen Anforderungen die Verarbeitung und die vorzunehmenden Abhilfemaßnahmen systematisch zu beschreiben (Was mache ich genau und was kann ich tun, um das Risiko zu verringern?). Diese Prüfung wird häufig als  „Privacy Impact Assessment“ – kurz PIA – bezeichnet. Die Methodik der der Abschätzung wird freilich nicht in der DSGVO vorgegeben.


Für Unternehmen bedeutet dies:

Da die DS-GVO ab Mai 2018 gravierende Sanktionen von bis zu 10 Mio. Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes für entsprechende Verstöße androht, haben die Verantwortlichen künftig ein gesteigertes Interesse an einer rechtskonformen Lösung. Nur wenn die PIA also rechtzeitig und unter Beachtung datenschutzrechtlicher Anforderungen durchgeführt wird, wird die Gefahr eines Bußgeldes minimiert. Zudem kann nur so sichergestellt werden, dass das Vertrauen in die Marke eines Unternehmens erhalten bleibt und nicht durch datenschutzrechtliche Verstöße beschädigt wird.
Unternehmen sollten sich also mit den neuen Anforderungen vertraut machen und bereits vor Geltung der DS-GVO eine PIA durchführen. Wir informieren Sie hierzu weiterführend in unseren Seminaren oder im Rahmen einer Beratung durch Bitkom Consult.

 

Neuen Kommentar schreiben