Auslegungssache 61: Datenschutz für die Schublade
Neben einem Nicht-Bußgeld geht es in Episode 61 des c't-Datenschutz-Podcasts um die Bedeutung und Erstellung einer Datenschutz-Folgeabschätzung (DSFA).
- Holger Bleich
- Joerg Heidrich
Nach einem kurzen Exkurs zur Big-Brother-Verleihung in Bielefeld diskutieren Heise-Justiziar Joerg Heidrich und c't-Redakteur Holger Bleich in der aktuellen Folge 61 des c't-Datenschutz-Podcasts zunächst ausführlich über das von ihnen gekürte "Nicht-Bußgeld der Woche": Eigentlich hatte die Datenschutzwelt lediglich darauf gewartet, wie hoch das Bußgeld sein würde. Es geht um den Autovermieter Buchbinder und ein riesiges Datenleck, das c't 2020 aufgedeckt hatte.
Nun hat das Bayerische Landesamt für Datenschutzaufsicht c't mitgeteilt, dass Buchbinder entgegen aller Erwartungen gänzlich ohne Sanktionen davongekommen ist. Maßgebliche Umstände seien dabei insbesondere "die Zurechenbarkeit des der Datenschutzverletzung zu Grunde liegende Fehlverhaltens und umfassende und effektive eigenverantwortliche Abhilfemaßnahmen sowie die pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens" gewesen.
Heidrich hebt die potenzielle Bedeutung dieser Entscheidung für die Bestrafung anderer Datenlecks hervor. Für wenig plausibel hält auch Rechtsanwältin Kathrin Schürmann die Begründung der Behörde. Schürmann ist Gründungspartnerin der Kanzlei Schürmann Rosenthal Dreyer und berät Unternehmen als Datenschutzexpertin bei der Einführung und Entwicklung neuer digitaler Geschäftsmodelle.
Pflicht für die Schublade
Im Schwerpunkt der Episode geht es um die Pflicht zu einer verschriftlichten Datenschutzfolgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Anhand des Beispiels einer Dating-Website erläutern Schürmann und Heidrich, ab wann es einer solchen DSFA zwingend bedarf und welche Punkte darin abgehandelt sein sollten. Ziel der DSFA ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Insbesondere muss ein Unternehmen darin Risiken der Rechte und Freiheiten der betroffenen Personen bewerten, also eine Risikoanalyse aller Verarbeitungsvorgänge vornehmen.
Das ist keineswegs trivial. Die Pflicht, so die Vermutung von Bleich, wird von der überwiegenden Mehrheit deutscher Unternehmen ignoriert. Heidrich und Schürmann sehen das ähnlich und weisen darauf hin, dass damit immer ein Bußgeld-Damoklesschwert schwebt. Einen simplen Sachverhalt könne man anhand von Leitfäden selbst in einer DSFA erläutern, sagen sie. Gehe es aber im komplexe Vorgänge, womöglich mit internationalem Datentransfer zu Auftragsverarbeitern, komme ein Unternehmen kaum um versierte, externe DSFA-Beratung herum.
Episode 61:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Hier gehts zu allen bisherigen Folgen:
(hob)