Konsultationsverfahren zu einer Datenschutz-Folgenabschätzung

 

Wenn eine Datenschutz-Folgenabschätzung (DSFA) aufgrund der vom Verantwortlichen gesetzten Maßnahmen ergibt, dass kein hohes Risiko gegeben ist, dann ist ein Konsulationsverfahren gem. Art 36 DSGVO unzulässig.

 

 

Die DSB ist nicht dazu da, um getroffene oder geplante Maßnahmen auf die Wirksamkeit zur Risikoreduzierung zu prüfen.

 

 

Ein Antrag auf vorherige Konsultation gem. Art 36 DSGVO wird von der DSB zurückgewiesen.

 

 

 

 

Videoüberwachung teilweise im öffentlichen Bereich

 

Ein Verantwortlicher konsultierte die DSB gem. Art 36 in Zusammenhang mit einer durchgeführten DSFA zu einer Videoüberwachung. Die DSB entschied darüber mit Bescheid vom 18.12.2018 (DSB-D485.001/0003-DSB/2018)

 

„Die Verantwortliche beabsichtige im „A*** Wirtschaftspark B***stadt“ zwölf Videokameras mit Ausrichtung auf die Straßeneingangsbereiche des Wirtschaftsparks sowie auf untergeordnete Feldwege einzurichten. Dies zum Zweck des Eigentums- und Objektschutzes sowie zum Schutz der im Wirtschaftspark tätigen Arbeitnehmer, da es in der Vergangenheit wiederholt zu Einbrüchen und Diebstählen gekommen sei.“

 

Aus der durchgeführten DSFA ergab sich – auch nach Aufforderungen durch die DSB in einer Stellungnahme des Verantwortlichen bestätigt – dass der Verantwortliche Maßnahmen zur Risikominimierung und –reduzierung gesetzt hat, und das Risiko eingedämmt sei. Es besteht nach dem Vorbringen des Antragstellers kein hohes Risiko aufgrund der gesetzten Maßnahmen. Die Videoüberwachung fällt daher nicht in den Anwendungsbereich des Art 36 Abs 1 DSGVO falle. Es sei aber nicht geklärt, ob die Maßnahmen auch ausreichend und/oder geeignet sind, um das Risiko auf ein angemessenes Maß zu reduzieren.

 

 

 

Die Entscheidung der DSB

 

Wenn eine durchgeführte DFSA ergibt, dass kein hohes Risiko für betroffene Personen durch die Verarbeitungstätigkeit besteht, dann kann ein Konsultationsverfahren iSd Art 36 DSGVO nicht durchgeführt werden. Ein dennoch gestellter Antrag wird von der DSB zurückgewiesen.

 

 

 

Die Rechtslage zum Konsultationsverfahren

 

Art 36 Abs 1 DSGVO lautet:

 

Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

 

Schon aus dem Gesetzestext ergeben sich daher Anforderungen für die Zulässigkeit des Konsultationsverfahren.

 

1.     Die Verarbeitungstätigkeit darf noch nicht aufgenommen worden sein

 

2.     Die DSFA ergibt, dass die Verarbeitungstätigkeit ein hohes Risiko zur Folge haben wird, wenn

 

3.     der Verantwortliche keine Maßnahmen trifft, um dieses Risiko einzudämmen.

 

Um daher die Verpflichtung zur Durchführung eines Konsultationsverfahrens auszulösen, ist es notwendig, dass der Verantwortliche nachvollziehbar darlegt, dass die geplante Verarbeitungstätigkeit ein hohes Risiko für die betroffenen Personen darstellt, und es ihm nicht gelingt, dieses Risiko durch geplante Maßnahmen einzudämmen und auf ein Niveau zu bringen, dass es nicht (mehr) hoch ist. Es muss ein hohes (Rest-)Risiko verbleiben, um die Möglichkeit zu haben, ein Konsultationsverfahren bei der DSB zu beginnen. Dazu kann auch auf das Verfahren „Konsultation Dash-Cam“ und die ergangenen Bescheide vom 09.07.2018 (DSB-D485.000/0001-DSB/2018) verwiesen werden.

 

 

 

Was ist die Entscheidungsgrundlage der DSB?

 

Die Sachverhaltsfeststellungen trifft die DSB auf Basis des Antrages und etwaig vorgelegter Unterlagen, sohin auf Basis des Vorbringens der Partei, die den Antrag stellt.

 

„Wenn die Verantwortliche im Rahmen des Konsultationsverfahrens eine Bestätigung der Datenschutzbehörde sucht, dass die von ihr getroffenen Maßnahme tatsächlich als geeignet anzusehen sind, um die identifizierten Risiken einzudämmen, so verkennt sie, dass dies nicht Gegenstand eines Verfahrens nach Art. 36 DSGVO ist. Eine solche Einschätzung der getroffenen Abhilfemaßnahmen obliegt allein der Verantwortlichen selbst und kommt eine Konsultation der Datenschutzbehörde nach Art. 36 DSGVO nur in jenen Fällen zur Anwendung, in denen es der Verantwortlichen nicht gelingt, die ermittelten Risiken hinreichend einzudämmen […].“

 

 

 

„Mit anderen Worten: Nur in Fällen, in denen der Verantwortliche keine hinreichenden Maßnahmen bestimmen kann, mit denen sich die Risiken auf ein vertretbares Maß reduzieren lassen (d. h. es bestehen weiterhin hohe Restrisiken), ist eine Konsultation der Aufsichtsbehörde erforderlich […]“.

 

Der Rechtstipp:

 

Ergibt eine DSFA, dass kein hohes Risiko für die betroffenen Personen gegeben ist, dann kann kein Konsultationsverfahren gem. Art 36 DSGVO durchgeführt werden.

 

Die DSB beurteilt nicht im Sinne eines Rechtsgutachtens, ob die getroffenen Maßnahmen ausreichend oder geeignet sich, das Risiko unter das Niveau „hoch“ zu reduzieren. Der Verantwortliche hat keine Möglichkeit, im Rahmen des Konsultationsverfahrens eine Bestätigung zu erhalten, dass die getroffenen Maßnahmen ausreichend oder geeignet sind. Die DSB stellt dazu keine „Persilscheine“ aus.

 

Nur dann, wenn es dem Verantwortlichen nicht gelingt, durch Maßnahmen das Risiko auf ein vertretbares Maß zu reduzieren, und daher immer noch ein hohes (Rest-)Risiko besteht, besteht Anspruch auf Durchführung eines Konsultationsverfahrens gem. Art 36 DSGVO.

 


Download
Ein Konsultationsverfahren zu einer DSFA setzt ein hohes Restrisiko voraus. Die DSB beurteilt nicht, ob getroffene Maßnahmen geeignet sind, ein Risiko einzudämmen.
DSFA Konsultation benötigt hohes Restris
Adobe Acrobat Dokument 831.4 KB

Kommentar schreiben

Kommentare: 0