Artikel 33 DSGVO-EU: Datenschutz-Folgenabschätzung

1. Bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

2. Die in Absatz 1 genannten Risiken bestehen insbesondere bei folgenden Verarbeitungsvorgängen:
a) systematische und umfassende Auswertung persönlicher Aspekte einer natürlichen Person, beispielsweise zwecks Analyse ihrer wirtschaftlichen Lage, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens oder zwecks diesbezüglicher Voraussagen, die sich auf eine automatisierte Verarbeitung von Daten gründet und ihrerseits als Grundlage für Maßnahmen dient, welche Rechtswirkung gegenüber der betroffenen Person entfalten oder erhebliche Auswirkungen für diese mit sich bringen;
b) Verarbeitung von Daten über das Sexualleben, den Gesundheitszustand, die Rasse oder die ethnische Herkunft oder für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen;
c) weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung;
d) Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten;
e) sonstige Verarbeitungsvorgänge, bei denen gemäß Artikel 34 Absatz 2 Buchstabe b vorab die Aufsichtsbehörde zu Rate zu ziehen ist.

3. Die Folgenabschätzung trägt den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung; sie enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden.

4. Der für die Verarbeitung Verantwortliche holt die Meinung der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.

5. Falls es sich bei dem für die Verarbeitung Verantwortlichen um eine Behörde oder um eine öffentliche Einrichtung handelt und die Verarbeitung aufgrund einer im Unionsrecht festgelegten rechtlichen Verpflichtung nach Artikel 6 Absatz 1 Buchstabe c erfolgt, welche Vorschriften und Verfahren für die betreffenden Verarbeitungsvorgänge vorsieht, gelten die Absätze 1 bis 4 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.

6. Die Kommission wird ermächtigt, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Kriterien und Bedingungen für Verarbeitungsvorgänge, die mit den in den Absätzen 1 und 2 genannten Risiken behaftet sein können, sowie die Anforderungen an die in Absatz 3 genannte Folgenabschätzung einschließlich der Bedingungen für die Skalierbarkeit und für die interne und externe Überprüfbarkeit festzulegen. Dabei berücksichtigt die Kommission spezifische Maßnahmen für Kleinst-, Klein- und mittlere Unternehmen.

7. Die Kommission kann Standards und Verfahren für die Durchführung sowie für die interne und externe Überprüfung der in Absatz 3 genannten Folgenabschätzung festlegen. Die entsprechenden Durchführungsrechtsakte werden in Übereinstimmung mit dem in Artikel 87 Absatz 2 genannten Prüfverfahren erlassen.

Entwurf!

Begründung:

(3.4. Erläuterung des Vorschlags im Einzelnen)

"Artikel 33 verpflichtet den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter, vor einer risikobehafteten Datenverarbeitung eine datenschutzspezifische Folgenabschätzung durchzuführen."

Erwägungsgründe:

"(72) Unter bestimmten Umständen kann es vernünftig und unter ökonomischen Gesichtspunkten sinnvoll sein, eine Datenschutz-Folgenabschätzung nicht auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise wenn Behörden oder öffentliche Einrichtungen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere für die Verarbeitung Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.

(73) Datenschutz-Folgeabschätzungen sollten von einer Behörde oder öffentlichen Einrichtung durchgeführt werden, sofern eine solche Folgenabschätzung nicht schon anlässlich des Erlasses des Gesetzes erfolgt ist, auf dessen Grundlage die Behörde oder Einrichtung ihre Aufgaben wahrnimmt und das den fraglichen Verarbeitungsvorgang oder die fraglichen Arten von Verarbeitungsvorgängen regelt.

(74) In Fällen, in denen die Datenschutz-Folgenabschätzung ergibt, dass bestimmte Verarbeitungsvorgänge große konkrete Risiken für die Rechte und Freiheiten von betroffenen Personen bergen, zum Beispiel das Risiko, infolge des Rückgriffs auf neue Technologien von dem Recht auf Datenschutz nicht Gebrauch machen zu können, sollte die Aufsichtsbehörde vor Beginn dieser Vorgänge zu der Frage, ob die geplante risikobehaftete Verarbeitung gegen die Bestimmungen dieser Verordnung verstößt, zu Rate gezogen werden müssen und Abhilfevorschläge unterbreiten dürfen. Eine solche Konsultation sollte auch bei der Ausarbeitung einer gesetzgeberischen Maßnahme des nationalen Parlaments oder einer darauf basierenden Maßnahme erfolgen, die die Art der Verarbeitung und geeignete Garantien festlegt."

Quelle: Europäischen Kommission: "Vorschlag für Verordnung des Europäischen Parlamentes und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) /* KOM/2012/011 endgültig - 2012/0011 (COD) */" vom 25.01.2012.