Folgenabschätzung gemäß Art. 35 DS-GVO

Wiki

Art. 35 DSG-VO beschäftigt sich mit der Abschätzung von Folgen für die personenbezogenen Daten, die sich bei einer risikobehafteten Verarbeitung mittels neuartiger Technologien ergeben..[1] Die Datenverarbeitung, die eine Folgenabschätzung erfordert, muss voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen. Im universitären Bereich kann dies insbesondere bei der Einführung neuer Lehr- und Lernkonzepte, die sich technischer Einrichtungen wie Computern bedienen, relevant sein.

Erforderlichkeit einer Abschätzung

Nicht jeder neue Datenverarbeitungsvorgang benötigt eine Folgenabschätzung, sondern es muss sich voraussichtlich ein hohes Risiko für Rechte und Freiheiten der Betroffenen aus dem Vorgang ergeben. Da dies ein relativ weit gefasster und weitgehend unklarer Standard ist, nennt Art. 35 Abs. 3 DSG-VO Regelbeispiele, in denen eine Folgenabschätzung notwendig ist.

Für die Verarbeitung im Bereich der universitären Arbeit ist besonders Art. 35 Abs. 3 Buchstabe a) der Datenschutzgrundverordnung relevant. Dieser bezieht sich auf die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf der automatisierten Verarbeitung personenbezogener Daten beruht. Damit ist aber nicht die Bildung eines Datenprofils der betroffenen Person selbst gemeint, sondern die automatisierte Entscheidung, die aufgrund des gebildeten Profils getroffen wurde. Daraus folgt, dass die Profilbildung, die sich aus der Verarbeitung personenbezogener Daten ergibt, grundsätzlich von der DSG-VO erlaubt wird.[2] Diese Sicht wird durch die systematische Betrachtung in Verbindung mit Art. 22 DS-GVO gestützt. Die Norm soll die „ungeprüfte Unterwerfung des Individuums unter die Maschine“ verhindern.[3] Jedoch ist die Profilbildung an sich zulässig. Eine Folgenabschätzung wird mithin erst nötig, wenn das Ergebnis der Profilbildung automatisiert zu einer Entscheidung mit rechtlicher Wirkung führt.[4]

Eine denkbare Situation ist die Profilbildung aufgrund von Zwischentests während des Semesters, die z. B. in ILIAS durchgeführt werden. Die Ergebnisse werden durch die Lernplattform automatisch ausgewertet. Vor der Zulassung zur Semesterabschlussprüfung werden die Ergebnisse der einzelnen Zwischentests zusammengeführt. Dadurch werden Profile der einzelnen Studierenden erstellt. Dies dient dann als Grundlage, die Studierenden automatisiert zur Semesterabschlussklausur zuzulassen, indem z. B. eine bestimmte Gesamtpunktzahl festgelegt wird, die erreicht werden muss.

Die Verarbeitung muss ferner einer der Rechtsgrundlagen gem. Art. 6 Abs. 1 lit. f bis e entsprechen damit eine Folgenabschätzung überhaupt nötig wird. Die Universität handelt in Ausübung hoheitlicher Gewalt, sodass die Verarbeitung auf Art. 6 Abs. 1 lit. e gestützt werden kann.

Gegenstand und Durchführung der Abschätzung

Gegenstand der Folgenabschätzung ist die Rechtmäßigkeit der geplanten Datenverarbeitung.[5] Da dies einer juristischen Einschätzung ähnelt, sieht Art. 35 Abs. 2 immer die Konsultation des/der Datenschutzbeauftragten der verantwortlichen Stelle vor, soweit ein/e solche/r vorhanden ist. Dies ist regelmäßig der/die Datenschutzbeauftragte der Universität bzw. Hochschule. Jedoch ist zu beachten, dass trotz der Konsultation des/der Datenschutzbeauftragten, der „Verantwortlicher“ i. S. d. DSG-VO bleibt und ggf. auch haftbar gemacht werden kann, der die neue Technologie erdacht hat bzw. für einen neuen Zweck nutzt. Den/Die Datenschutzbeauftragte/n trifft lediglich eine Beratungspflicht.[6]

Art. 35 Abs. 7 DSG-VO beschreibt, wie eine Folgenabschätzung durchzuführen ist.

  • Systematische Beschreibung der geplanten Verarbeitung

Demnach braucht es eine thematisch gegliederte Skizzierung des Datenverarbeitungsvorganges. Dazu müssen die verwendeten technischen Hilfsmittel, die Kategorien der verarbeiteten personenbezogenen Daten sowie die Gruppe der Betroffenen Personen aufgeführt werden.[7]

  • Bewertung der Erforderlichkeit und Notwendigkeit der Verarbeitung

Hier kann auf die allgemeinen Ausführungen zur Erforderlichkeit verwiesen werden. Ferner ist der Grundsatz der Datenminimierung zu beachten. Es dürfen also nur so viele Daten gesammelt werden, wie unbedingt für die Nutzung der Technologie nötig sind.

  • Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen

Letztlich müssen die tatsächlichen und potentiellen Risiken sowie ihre Quellen erfasst und bewertet werden. Diese Risiken können durch die Organisation des Verantwortlichen (z. B. Mitarbeiter) aber auch durch externe Personen (z. B. Hacker) entstehen. Die Bewertung wird vorgenommen, indem man die Stärke der Auswirkungen für die Betroffenen der Wahrscheinlichkeit des Eintretens des Schadens gegenüber stellt. Ferner sind die „Abhilfemaßnahmen“ aufzuführen, also die Maßnahmen, die das Risiko eines Schadens für die Betroffenen minimieren sollen, z. B. regelmäßige Sicherheitsupdates. [8]

Nachweise

  1. Martini, in: Paal/Pauly, BDSG/DSG-VO, 2. Auflage 2018, Rn. 1 ff.
  2. Schmitz/von Dall`Armi, ZD 2017, 57 (60).
  3. Von Lewinski, in: BeckOK DatenschutzR, 24. Edition 01.05.2018, Art. 22 DS-GVO Rn. 2.
  4. Martini, in: Paal/Pauly, BDSG/DSG-VO, 2. Auflage 2018, Rn. 29.
  5. Martini, in: Paal/Pauly, BDSG/DSG-VO, 2. Auflage 2018, Rn. 22.
  6. Sassenberg/Schwendemann, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 35 Rn. 6.
  7. Sassenberg/Schwendemann, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 35 Rn. 24.
  8. Sassenberg/Schwendemann, in: Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage 2017, Art. 35 Rn. 27.
Alert Die Inhalte dieser Seite stellen eine allgemeine Information und keine Rechtsberatung dar. Sie können diese nicht ersetzen. Trotz sorgfältiger Recherche wird keine Garantie für die Richtigkeit der Inhalte übernommen. Mitarbeiter und Mitarbeiterinnen der Martin-Luther-Universität Halle-Wittenberg wenden sich für Rechtsauskünfte Forschung oder Lehre betreffend bitte an das Justitiariat der Universität.