Beratung zur DSGVO durch Datenaufsichtsbehörden? Ja, aber …

18.12.2018  — Tobias Weilandt.  Quelle: Verlag Dashöfer GmbH.

Laut Artikel 36 DSGVO haben Unternehmen einen Anspruch auf Beratung durch die Landesdatenschutzbehörden. Diese Befugnis ist allerdings eingeschränkt und die Datenaufsichtsbehörden sind in einigen Bundesländern akut überlaufen. Aber wann können Sie sich nun Hilfe bei den Behörden holen?

Art. 36 DSGVO besagt u.a.:

„Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Nur wann liegen berechtigterweise eine solche Datenschutz-Folgeabschätzung und eine relevante Risikostufe vor? Wir zeigen Ihnen, wann Sie sich an Ihre Landesdatenschutzbehörde wenden können:

Risikostufen

Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei entscheidende Dimensionen: Erstens die Schwere des potentiellen Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.

Die DSGVO beschreibt an verschiedenen Stellen drei Risiko-Level, die formal unterschieden werden müssen: "Geringes Risiko", "Risiko" und "Hohes Risiko".

Selfhtml

© Bayerisches Landesamt für Datenschutzaufsicht

Geringes Risiko

Ein geringes Risiko bedeutet, dass weder die mögliche Schwere des Schadens für den Betroffenen noch die Eintrittswahrscheinlichkeit hoch sind und in Kombination weder mittel noch hoch. Bei einem geringen Risiko ergeben sich in der DSGVO für den Verantwortlichen gewisse Ausnahmen verschiedener Verpflichtungen, so dass manche Maßnahmen nicht durchgeführt werden müssen:

  • Bei einer Datenschutzverletzung ohne Risiko (z. B. harmloser Fehlversand innerhalb einer Organisation) muss die Datenschutzaufsichtsbehörde nicht informiert werden.
  • Ein Verzeichnis der Verarbeitungstätigkeiten ist (unter Berücksichtigung anderer Faktoren wie z. B. unregelmäßige Verarbeitung) bei geringem Risiko nicht zu erstellen.

Risiko ("Normal")

Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen, z. B. bei der Verarbeitung von Adresslisten, Einkaufsverhalten, der Kommunikation am Arbeitsplatz oder von Mitgliederlisten eines Sportvereins. Dort kann also die Schwere des Schadens und die Eintrittswahrscheinlichkeit in Kombination ein mittleres Niveau für das Risiko des Betroffenen erreichen. Bei der Verarbeitung besonderer Arten personenbezogener Daten, d.h. sensibler Daten, ist das Risiko nicht immer gleich als hoch einzustufen. Die Risiko-Stufe „normal" kann also dort auch erreicht werden wie z. B. bei Angaben zur Religionszugehörigkeit „Römisch-Katholisch" in Bayern oder der Diagnose eines „Schnupfens" beim Hausarzt.

Hohes Risiko

Ein hohes Risiko umfasst dagegen potentielle Schäden, deren Ausmaß für die Rechte und Freiheiten von Betroffenen gravierend und/oder ziemlich wahrscheinlich sind. Unter der DSGVO wird dieses Risiko-Level im Verhältnis aller Verarbeitungen eher selten vorkommen. Da ein hohes Risiko aber wesentliche Rechtsfolgen für den Verantwortlichen hat, muss das mögliche Vorkommen eines hohen Risikos zwangsläufig im Blick behalten werden.

Quelle: Bayerisches Landesamt für Datenschutzaufsicht

nach oben