Datenschutz

A.  AKTUELL: Datenschutz-Grundverordnung und neues BDSG

III.   Datenschutz-Folgeabschätzung

Ein wesentlich neu gestaltetes Instrument des Datenschutzes im Betrieb, bei der der Betriebsrat ein Beteiligungsrecht hat, ist die Datenschutz-Folgenabschätzung.

Bisher bedurfte jede automatisierte Verarbeitung, die besondere Risiken für die Rechte der Betroffenen aufwiesen, etwa weil Gesundheitsdaten verarbeitet wurden, grundsätzlich der Prüfung durch den betrieblichen Datenschutzbeauftragen auf ihre Rechtmäßigkeit (§ 4d Abs. 5 und 6 BDSG).

Diese Vorabkontrolle wird nun durch die Datenschutz-Folgenabschätzung ersetzt (Art. 35 DSGVO).

Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn die Verarbeitungsform ein hohes Risiko für die Rechte von Betroffenen zur Folge hat. Dies kann der Fall sein, weil neue Technologien verwendet werden oder der Umfang oder Zweck der Verarbeitung risikoreich ist. Die Datenschutz-Grundverordnung nennt als Beispiele, wann dies der Fall ist, die umfassende Bewertung persönlicher Aspekte (etwa der Leistung) Betroffener mit automatisierten Verfahren und die umfangreiche Verarbeitung von besonderen Daten – wie (weiterhin) Gesundheitsdaten. Diese Regelung ist im Vergleich zur bisherigen Rechtslage in Deutschland etwas großzügiger, was sich am Beispiel der Gesundheitsdaten zeigt: So reicht nicht mehr die Verarbeitung von Gesundheitsdaten überhaupt, damit eine Datenschutz-Folgenabschätzung nötig ist, sondern es müssen umfangreich Gesundheitsdaten verarbeitet werden. Bestehende Ausnahmen wurden dagegen abgeschafft.

 
Die Datenschutz-Folgenabschätzung besteht aus folgenden Teilen:

     -    systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke
     -    Bewertung der Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitung
     -    Bewertung der Risiken für die Betroffenen
     -    Abhilfemaßnahmen zur Bewältigung der Risiken für die Betroffenen.

Bei den Abhilfemaßnahmen müssen auch die Vorkehrungen oder Verfahren dargestellt werden, die den Schutz personenbezogener Daten und die Einhaltung der Datenschutz-Grundverordnung sicherstellen.

Die Datenschutz-Folgenabschätzung wird nicht mehr durch den betrieblichen Datenschutzbeauftragten, sondern durch den Arbeitgeber selbst durchgeführt, der sich dabei vom betrieblichen Datenschutzbeauftragten beraten lassen muss (sofern ein solcher benannt ist). Diese neue Rollenverteilung nimmt den Arbeitgeber zwar selbst noch mehr in die Verantwortung, hat aber den Nachteil, dass sie die Prüfung dem fachlich unabhängigen Datenschutzbeauftragten aus den Händen nimmt.

Ein Betriebsrat hat ab dem 25.05.2018 das Recht, dem Arbeitgeber seinen Standpunkt zur Frage mitzuteilen, ob eine Datenschutz-Folgenabschätzung notwendig ist und wie er die Verarbeitung, deren Notwendigkeit, deren Verhältnismäßigkeit und deren Risiken bewertet sowie welche Maßnahmen er für erforderlich hält. Hierfür muss der Arbeitgeber ihn entsprechend unterrichten. Dass der Arbeitgeber den Betriebsrat auf diese Weise einbezieht sollten Betriebsräte rechtzeitig sicherstellen.

Hervorzuheben ist, dass der Arbeitgeber den Standpunkt betroffener Personen oder des Betriebsrats zu der beabsichtigten Verarbeitung einholen muss (Art. 35 Abs. 9 DSGVO). Damit der Betriebsrat seinen Standpunkt darlegen kann, muss er vorher unterrichtet werden. Die Konsultierung des Betriebsrats betrifft sowohl die Frage der Notwendigkeit der Datenschutz-Folgenabschätzung und damit das Vorliegen besonderer Risiken als auch die Durchführung der Folgenabschätzung selbst.

RSS abonieren Drucken Per Email empfehlen