Was ist überhaupt eine Datenschutzfolgeabschätzung (DSFA)?
Art. 35 DSGVO - Datenschutz-Folgenabschätzung
Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Bei der Datenschutz-Folgenabschätzung handelt sich also um eine Risikoanalyse!
Art. 35 DSGVO - Datenschutz-Folgenabschätzung
"(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden."
Art. 35 DSGVO - Datenschutz-Folgenabschätzung
"(7) Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird."
Wird eine Datenschutz-Folgenabschätzung durchgeführt, muss diese entsprechend dokumentiert werden. Das BayLfD bietet ein Muster für einen DSFA-Bericht zum Download an. Wenn die durchgeführte DSFA online dokumentiert werden möchte, eignet sich das PIA-Tool hervorragend zur Dokumentation.
Die DSGVO sieht für die Übermittlung personenbezogener Daten in Drittländer besondere Anforderungen vor (Art. 44 ff)
Wichtigste Möglichkeiten für Drittstaatenübermittlung:
1.Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Art. 45)
--> Datenübermittlung brauchen keine weitere Genehmigung
2.Datenübermittlung auf Basis von SSC --> TIA
Viele Informationen dazu hier
Art. 4 DSGVO - Begriffsbestimmungen
„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“
Art. 9 DSGVO- Verarbeitung besonderer Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Einige Teile (Iris und Retina) des menschlichen Auges bestehen aus komplexen, einzigartigen Bindegewebsstrukturen, die sich selbst bei eineiigen Zwillingen unterscheiden und ein Leben lang weitgehend unverändert bleiben. Daher eignet sich die Iris und die Retina als eindeutiges biometrisches Erkennungsmerkmal.
Werden Bilder vom Auge aufgenommen, können diese mittels spezieller mathematischer Methoden in eindeutige Datensätze, sogenannte "Templates", umgewandelt werden. Diese Templates ermöglichen eine präzise und sichere Identifizierung von Personen anhand ihrer Iris. Daher zählen Abbildungen der Iris zu biometrischen bzw. personenbezogenen Daten.
Werden Abbildungen der Iris, der Netzhaut und Konjunktiva im Detail in Fachbüchern abgebildet, ist daher zwingend die Einwilligung der Betroffenen einzuholen.
Eine Datenschutzfolgeabschätzung ist ratsam, da es grundsätzlich möglich ist mit den biometrischen Daten Rückschlüsse auf die Identität der betroffenen Person zu ziehen und auch immer mehr Sicherheitsmechanismen (Handy, Passwörter, Haustüren, Online-Banking etc.) mithilfe biometrischer Erkennungsmechanismen arbeiten.
Deshalb sollte gerade in Bezug auf die stetige Weiterentwicklung künstlicher Intelligenz sichergestellt werden, dass solche Daten nicht zu Trainingszwecken der KI weiterverwendet werden dürfen, da dies sonst ein großes Gefahrenpotenzial – auch für Cybercrime- birgt.
Biometrische Erkennungssysteme, die Gesichtserkennung nutzen, bieten einen dauerhaften und eindeutigen Identitätsnachweis.
Detaillierte Informationen und rechtliche Aspekte zum Einsatz biometrischer Verfahren dazu sind im Positionspapier der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu finden.
Eine DSFA muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Bei vorliegen bestimmter Fälle muss eine DSFA durchgeführt werden.
Und es gibt Regelbeispiele, wann eine DSFA durchzuführen ist, Art. 35 Abs. 3 DSGVO
Sowohl bei Durchführung einer Datenschutzfolgenaschätzung als auch bei einem TIA müssen die Verarbeitungsvorgänge genau beschrieben und dokumentiert werden.Sobald Datenverarbeitungen mit einem Drittland auf Basis der SSC stattfinden, ist zwingend ein TIA durchzuführen. Eine Datenschutz-Folgenabschätzung und ein Transfer Impact Assessment haben teilweise überlappende Bestandteile. Jedoch sind es dem Grundsatz nach zwei unterschiedliche Dokumente.
Ausführliche Informationen zum TIA finden Sie in unserem Blog.
Bei der Frage, ob ein Fitnessstudio eine eigene Datenschutz-Folgenabschätzung (DSFA) erstellen muss, wenn es Geräte verwendet, die Gesundheitsdaten verarbeiten und mit der Cloud eines Geräte-Anbieters verbunden sind, kommen mehrere Faktoren ins Spiel. Grundsätzlich dient eine DSFA dazu, die Datenschutzrisiken von Verarbeitungstätigkeiten zu identifizieren und zu mindern, insbesondere wenn es um sensible Daten wie Gesundheitsdaten nach Art. 9 DSGVO geht.
Nach der Datenschutz-Grundverordnung (DSGVO) ist eine DSFA insbesondere dann erforderlich, wenn die Art der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Natur, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Wenn der Gerätehersteller als datenschutzrechtlich Verantwortlicher für die Verarbeitung der Daten gilt und bereits eine DSFA erstellt hat, könnte das Fitnessstudio möglicherweise darauf verweisen, vorausgesetzt, die DSFA des Herstellers deckt alle relevanten Aspekte der Verarbeitung im Fitnessstudio ab. Es ist jedoch wichtig zu beachten, dass das Fitnessstudio als Nutzer dieser Geräte und als eigenständiger Verantwortlicher im Rahmen der DSGVO auch eigene Datenschutzpflichten hat. Dies könnte bedeuten, dass eine separate DSFA erforderlich ist, um spezifische Risiken zu bewerten, die durch die Nutzung der Geräte im Fitnessstudio entstehen könnten.
Thema Einwilligung:
Wenn Kunden direkt beim Geräte-Anbieter ihre Einwilligung erteilen und diese Einwilligung auch die Verarbeitung im Kontext des Fitnessstudios abdeckt, könnte eine zusätzliche Einwilligung durch das Fitnessstudio nicht notwendig sein. Allerdings muss sichergestellt sein, dass die Einwilligung alle notwendigen Informationen enthält, einschließlich der Tatsache, dass das Fitnessstudio die Daten im Rahmen seiner Dienste verwendet. Kunden müssen klar über die Verarbeitung ihrer Daten und die Verantwortlichen dafür informiert werden, vgl. Art. 13 DSGVO.
Folgende Voraussetzungen müssten erfüllt sein:
•Die DSFA des Geräte-Anbieters deckt auch die Verarbeitungstätigkeiten und Risiken ab, die sich aus der Nutzung der Geräte im Fitnessstudio ergeben
•Die Nutzer sind vollständig über die Rolle des Fitnessstudios bei der Verarbeitung ihrer Daten informiert
•Die Einwilligung, die beim Geräte-Anbieter erteilt wird, ist ausreichend umfassend und deckt auch die Datenverarbeitung im Fitnessstudio ab
•Bei der Verarbeitung werden die erforderlichen technischen und organisatorischen Maßnahmen ergriffen, sodass eine sichere Datenverarbeitung gewährleistet werden kann
Stand: November 2024
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung
