DSB

Berechtigtes Interesse

von

Das berechtigte Interesse

 

Eine wichtige Rechtsgrundlage zur Verarbeitung personenbezogener Daten ist das „berechtigte Interesse“, welches in Art. 6 Abs. 1 lit. f DSGVO geregelt ist.

Die Datenschutz-Grundverordnung (DSGVO) enthält eine Reihe von Regelungen, die Unternehmen und Organisationen im Umgang mit personenbezogenen Daten beachten müssen. Ein wichtiger Grundsatz der DSGVO ist das Prinzip der Rechtmäßigkeit, das besagt, dass die Verarbeitung personenbezogener Daten nur auf einer rechtmäßigen Grundlage erfolgen darf.

Eine solche rechtmäßige Grundlage ist das berechtigte Interesse. Das berechtigte Interesse ist eine Rechtsgrundlage, die es einem Unternehmen erlaubt, personenbezogene Daten zu verarbeiten, ohne dass eine Einwilligung der betroffenen Person erforderlich ist. Allerdings müssen bestimmte Bedingungen erfüllt sein, um das berechtigte Interesse als Rechtsgrundlage nutzen zu können.

Das Unternehmen muss zunächst ein berechtigtes Interesse an der Verarbeitung der personenbezogenen Daten haben. Ein berechtigtes Interesse kann beispielsweise dann vorliegen, wenn die Verarbeitung der personenbezogenen Daten zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist, z.B. um ein legitimes Geschäftsinteresse zu verfolgen.

Darüber hinaus muss das Unternehmen sicherstellen, dass das berechtigte Interesse der betroffenen Person nicht überwiegt. Wenn das berechtigte Interesse des Unternehmens das Interesse oder die Grundrechte und Freiheiten der betroffenen Person überwiegt, kann das Unternehmen die personenbezogenen Daten unter Umständen verarbeiten, ohne dass eine Einwilligung erforderlich ist.
Die Interessenabwägung ist auf jeden Fall zu dokumentieren, da diese ggf. auch einer Aufsichtsbehörde vorgelegt werden muss. Hier muss eine sachgerechte Abwägung der unterschiedlichen Interessen ersichtlich sein.

Es ist jedoch wichtig zu betonen, dass das berechtigte Interesse kein Freifahrtschein für Unternehmen ist, um personenbezogene Daten beliebig zu verarbeiten. Unternehmen müssen sicherstellen, dass sie nur diejenigen personenbezogenen Daten verarbeiten, die für die Zwecke, für die sie benötigt werden, angemessen, relevant und begrenzt sind.

Ein kompetenter Datenschutzbeauftragter kann hier wertvolle Dienste leisten.

Weiterhin ist hier zu beachten, dass diese Rechtsgrundlage für den öffentlichen Bereich NICHT anwendbar ist (vgl. Art. 6 Abs.1 Satz 2 DSGVO).

Risikoanalyse – Notwendig nach DSGVO?

von

Die Risikoanalyse

 

Die Datenschutz-Grundverordnung (DSGVO) erfordert z.B. in Art 32 von Unternehmen und Organisationen, dass sie eine Risikoanalyse durchführen, um potenzielle Datenschutzverletzungen zu identifizieren und zu minimieren. Eine solche Risikoanalyse sollte folgende Schritte beinhalten:

  1. Identifizieren Sie alle personenbezogenen Daten, die von Ihrem Unternehmen oder Ihrer Organisation verarbeitet werden.

  2. Bewerten Sie die Wahrscheinlichkeit und Auswirkungen von Datenschutzverletzungen, die mit diesen personenbezogenen Daten verbunden sind. Berücksichtigen Sie hierbei auch die Art der Daten, die Verarbeitungszwecke und die Art der betroffenen Personen.

  3. Identifizieren Sie mögliche Schwachstellen und Bedrohungen für die Sicherheit der personenbezogenen Daten, die von Ihrem Unternehmen oder Ihrer Organisation verarbeitet werden. Hierzu gehören beispielsweise unverschlüsselte Übertragungen, unzureichende Zugangskontrollen oder mangelnde Datensicherung.

  4. Bestimmen Sie geeignete Maßnahmen zur Minimierung der Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind. Dazu gehören beispielsweise die Implementierung von Verschlüsselungstechnologien, die Verbesserung von Zugangskontrollen oder die regelmäßige Überprüfung von Sicherheitsprotokollen.

  5. Dokumentieren Sie Ihre Risikoanalyse und die darauf basierenden Maßnahmen in einem Datenschutzkonzept. Stellen Sie sicher, dass dieses Konzept regelmäßig aktualisiert und an neue Bedrohungen und Risiken angepasst wird.

 

 

Es ist wichtig zu beachten, dass die DSGVO keine spezifischen Methoden oder Tools für die Durchführung einer Risikoanalyse vorschreibt. Die oben genannten Schritte dienen als Leitfaden und können je nach Art und Umfang der Datenverarbeitung angepasst werden. Es empfiehlt sich jedoch, sich an bewährte Praktiken und Standards zu halten und die Hilfe von Datenschutzexperten in Anspruch zu nehmen, um sicherzustellen, dass die Risikoanalyse korrekt durchgeführt wird.

 

 

Auswahl angemessener Sicherungsmaßnahmen

 

Da die DSGVO hier keine spezifischen Vorgaben macht, können die jeweiligen Sicherungsmaßnahmen individuell an das heweilige Unternehmen und somit an die verarbeiteten Daten angepasst werden.

Auch einige Aufsichtsbehörden haben sich hierzu schon geäußert. Beispielsweise hat die Landesbeauftragte für den Datenschutz in Niedersachsen hierzu schon einiges veröffentlicht.

Datenschutzfolgenabschätzung (DSFA)

von

Die Datenschutzfolgenabschätzung der DSGVO

 

Die Datenschutz-Grundverordnung (DSGVO) sieht sieht gem. Art. 35 vor, dass bei der Verarbeitung personenbezogener Daten vorab eine Datenschutzfolgenabschätzung durchgeführt werden muss, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

 

 

Die Risikoabschätzung ist ein wichtiger Bestandteil der DSFA. Hierbei werden die potenziellen Risiken identifiziert und bewertet, die mit der Verarbeitung personenbezogener Daten einhergehen können. Hierzu können beispielsweise gehören: Risiken wie Identitätsdiebstahl, Verlust oder Diebstahl von Daten, unbefugte Weitergabe von Daten oder Verletzungen der Privatsphäre.

Eine Datenschutzfolgenabschätzung (DSFA) ist eine systematische Bewertung der potenziellen Auswirkungen der Verarbeitung personenbezogener Daten auf die Privatsphäre und die Grundrechte und -freiheiten der betroffenen Personen. Ziel der DSFA ist es, Risiken und Schwachstellen in der Datenverarbeitung zu identifizieren und Maßnahmen zur Minimierung dieser Risiken zu empfehlen.

Die DSFA muss unter anderem folgende Elemente enthalten:

  • Eine Beschreibung der geplanten Verarbeitungsvorgänge und der betroffenen Datenkategorien
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • Eine Beschreibung der vorgesehenen Maßnahmen zur Minimierung der Risiken
  • Eine Bewertung der Wirksamkeit dieser Maßnahmen.
  • usw.

Die DSFA muss vom Verantwortlichen (Unternehmensleitung) durchgeführt werden und kann auch externe Experten einbeziehen. Die Ergebnisse der DSFA müssen dokumentiert werden und den Aufsichtsbehörden auf Anfrage vorgelegt werden können.

Die DSFA ist ein wichtiges Instrument, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit den Grundrechten und -freiheiten der betroffenen Personen erfolgt und um die Datenschutzpraktiken von Unternehmen und Organisationen zu verbessern.

Weitere Hinweise für die Durchführung bzw. Notwendigkeit einer DSFA findet man beispielsweise bei der Landesbeauftragten für den Datenschutz in Niedersachsen.