Entscheidungen zum Datenschutzrecht  ·  13. Juni 2021

Datenschutz-Folgenabschätzung – Risikobeurteilung unter Gesamtschau aller Maßnahmen

Die Datenschutzbehörde hat sich in einer Entscheidung vom 02.02.2021 (2021-0.024.862) mit einer Konsultation im Rahmen einer Datenschutz-Folgenabschätzung beschäftigt. Der Antrag auf vorherige Konsulation nach Art 36 DSGVO wurde von der DSB abgewiesen, da der Verantwortliche unter Berücksichtigung aller Maßnahmen das Risiko eingedämmt hat.

 

Die Verarbeitungstätigkeit „Anpralldetektion bei Brücken“.

 

Der Verantwortliche hat sich intensiv mit den Fragen des Datenschutzes bei der Verarbeitung der Daten inkl. Bilddaten auseinandergesetzt, und er hat auch eine sehr umfassende Datenschutz-Folgenabschätzung, die in der Entscheidung in Auszügen wiedergeben wird, erarbeitet.

 

Der Verantwortliche hat die DSFA und die Darstellung zur Verarbeitung selbst der DSB vorgelegt, und darauf verwiesen, dass ein Risiko für die betroffenen Personen verbleib.

 

Der Verantwortliche hat das Risiko der Verarbeitung beschrieben, und mitgeteilt, dass die „betroffenen Personen von der Datenverarbeitung in Form einer Videoüberwachung in ihrem privaten oder beruflichen Lebensbereich erfasst werden, ohne über die Tatsache der Verarbeitung und/oder die Identität des Verantwortlichen informiert zu sein. Darin manifestiere sich ein hohes Risiko für die Datenschutzrechte der betroffenen Personen, insbesondere für das durch Art. 5 Abs. 1 lit. a DSGVO geschützte Recht, dass personenbezogene Daten nur in einer für die betroffenen Personen nachvollziehbaren Weise verarbeitet werden.

 

Die vorliegende Datenschutz-Folgenabschätzung komme daher zu dem Ergebnis, dass die geplanten technischen und organisatorischen Maßnahmen alleine nicht ausreichen können, diese Risiken gänzlich auszuschließen.“

 

Die umfassende DSFA des Verantwortlichen

 

Aus der DSFA ergibt sich, dass sich der Verantwortliche mit der Rechtsgrundlage der Verarbeitung (Art 6 Abs 1 lit f DSGVO: berechtigtes Interesse) sowie insbes. den Grundsätzen der Verarbeitung iSd Art 5 DSGVO auseinandergesetzt hat, so speziell auch dem Zweckbindungsgrundsatz des Art 5 Abs 1 lit b DSGVO, der Daten­minimierung (Art 5 Abs 1 lit c DSGVO), der Speicherbegrenzung (Art 5 Abs 1 lit e DSGVO).

Der Verantwortliche setzt sich auch damit auseinander, dass die betroffenen Personen von der Verarbeitung (vorab) nicht informiert werden könnten, und stellt sich wie folgt dar:

 

 

 

Die Beurteilung der DSB - "Gesamtschau aller getroffenen Maßnahmen"

 

Die Datenschutzbehörde kommt in der Entscheidung zum Schluss, dass der Verantwortliche durch die vorgenommene Kennzeichnung der Verarbeitung eine geeignete Maßnahme gesetzt hat, das eingeschätzte Risiko zu minimieren, und auch die anderen (technischen und organisatorischen) Maßnahmen in die Risikobetrachtung einzubeziehen sind:

 

Dementsprechend hat auch für die Beurteilung des verbleibenden Risikos eine Gesamtschau aller getroffenen Maßnahmen und Vorkehrungen – im Sinne einer allumfassenden Interessensabwägung im Sinne des Art. 5 iVm Art. 6 DSGVO – zu erfolgen.

 

Der Verantwortliche hat das Risiko identifiziert, und er hat angemessene Maßnahmen getroffen, um das (hohe) Risiko einzudämmen, wobei dies unter einer Zusammenschau der Maßnahmen zu beurteilen ist.  

 

 

14.06.2021, Autor
Michael Schweiger, zert DSBA

Download
DSFA Konsultation hohes Risiko Gesamtsch
Adobe Acrobat Dokument 1.1 MB
Download
Tags: Datenschutz-Folgenabschätzung, Risiko, DSFA, DPIA, hohes Risiko, Datenschutzfolgenabschätzung, Art 35 DSGVO, Konsultation, Gesamtschau

Kommentar schreiben

Kommentare: 0