Datenschutz-Folgeabschätzung
Die Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren zur Sicherstellung und zum Nachweis der Einhaltung gesetzlicher Anforderungen. Art. 35 DSGVO verlangt eine DSFA, wenn die Form der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen hat. Dies kann sich insbesondere ergeben durch:
- die Verwendung neuer Technologien,
- der Art,
- den Umfang,
- der Umstände und
- der Zwecke
der Verarbeitung personenbezogener Daten. Anhand der Kriterien in Art. 35 DSGVO wird eine sog. Schwellenwertanalyse durchgeführt, um zu ermitteln, ob eine DSFA für die zu prüfende Verarbeitung durchzuführen ist. In folgenden Fällen ist der Schwellenwert stets überschritten und eine DSFA ist durchzuführen:
1. Die Form der Verarbeitung, insbesondere die Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung hat voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (Art. 35 Abs. 1 DSGVO).
2. Die Verarbeitung fällt unter eines der Regelbeispiele aus Art. 35 Abs. 3 DSGVO. Hierzu zählen:
- Die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
- Die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art.9 Abs.1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art.10 DSGVO.
- Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
3. Die Verarbeitung befindet sich auf einer Liste nach Art. 35 Abs. 4 DSGVO.
Unter Umständen muss der Diagnostiker als datenschutzrechtlich Verantwortlicher für die Nutzung von HTS eine Datenschutz-Folgeabschätzung durchführen. Hogrefe als Auftragsverarbeiter ist nach Art. 28 Abs. 3 f) DSGVO verpflichtet, den Verantwortlichen bei der Durchführung der Datenschutz-Folgeabschätzung zu unterstützen.
Die genauen Umstände der Verarbeitung personenbezogener Daten durch den Diagnostiker im HTS und eventuell damit verbundene hohe Risiken für die Rechte und Freiheiten der betroffenen natürlichen Personen kann Hogrefe nicht antizipieren. Für die Datenschutz-Folgeabschätzung ist nicht nur der Verarbeitungsvorgang innerhalb des HTS, sondern auch Vorgänge, die außerhalb des HTS beim Diagnostiker im Rahmen der Durchführung der Tests stattfinden, von denen Hogrefe weder Kenntnis hat noch Einfluss darauf nehmen kann.
Grundsätzlich ist es möglich, das HTS gänzlich ohne die Erfassung personenbezogener Daten zu nutzen, so dass ein hohes Risiko nahezu ausgeschlossen werden kann. Es ist andererseits auch möglich personenbezogene Daten sowie besondere Kategorien personenbezogener Daten innerhalb des HTS zu verarbeiten. Dies liegt in der Verantwortung des Diagnostikers.
Sollte daher der Diagnostiker als datenschutzrechtlich Verantwortlicher zur Durchführung einer Datenschutz-Folgeabschätzung verpflichtet sein, wird in diesem Dokument unter den Ziffern II. 2. bis 6. sowie IV. und V. eine Vielzahl von geeigneten Gegenmaßnahmen dargestellt, um etwaige Risiken auf ein adäquates Niveau zu senken. Diese Maßnahmen werden von Hogrefe kontinuierlich geprüft und weiterentwickelt. Es ist weder zu erwarten, dass hohe Risiken für die betroffenen Personen durch die Nutzung des HTS eintreten, noch dass eine Pflicht zur vorherigen Konsultation einer Aufsichtsbehörde nach Art. 36 DSGVO besteht, soweit die genannten Abhilfemaßnahmen durch den Diagnostiker ergriffen werden.