ZAP-2019-21
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Fach 19, Seite 944<br />
Datenschutz: Kommunalebene<br />
Verfassungsrecht/Verwaltungsrecht<br />
Das Verzeichnis von Verarbeitungstätigkeiten muss nicht veröffentlicht werden; im Rahmen eines<br />
Auskunftsanspruchs kann dieses aber dennoch eingesehen werden. Dieses Recht ergibt sich zwar nicht<br />
unmittelbar aus der DSGVO, ist aber schon nach dem Grundsatz des § 242 BGB ableitbar. Dieser findet<br />
insoweit auch analog im öffentlichen Recht Anwendung.<br />
Fehlt ein Verzeichnis von Verarbeitungstätigkeiten, kann gem. Art. 30 Abs. 4a DSGVO ein Bußgeld<br />
verhängt werden.<br />
Der betroffene Mandant hat zudem die Möglichkeit sich beim zuständigen Landesdatenschutzbeauftragten<br />
zu beschweren.<br />
4. Datenschutz-Folgenabschätzung<br />
Nach Art. 35 Abs. 1 DSGVO besteht die Pflicht eine sog. Risikoabschätzung der Folgen vorgesehener<br />
Verarbeitungsvorgänge durchzuführen.<br />
Wie dies konkret auszusehen hat, hat der Gesetzgeber nicht vorgegeben; aus diesem Grunde herrscht<br />
große Unsicherheit darüber, wie dies im Einzelnen gewährleistet werden soll. Fest steht aber, dass<br />
zum Inhalt einer Datenschutz-Folgenabschätzung jedenfalls immer nachstehende Schritte gehören:<br />
systematische Beschreibung der geplanten Verarbeitungsvorgänge; Beschreibung der Zwecke der<br />
Verarbeitung; Bewertung der Notwendigkeit der Verarbeitung; Bewertung der Verhältnismäßigkeit<br />
der Verarbeitungsvorgänge insbesondere in Bezug auf den Zweck; Bewertung der Risiken für die<br />
Rechte und Freiheiten der betroffenen Person sowie die Festlegung der Abhilfemaßnahmen zur<br />
Bewältigung bestehender Risiken.<br />
Die Aufsichtsbehörden haben zur Orientierung im Rahmen der Datenschutz-Folgenabschätzung eine<br />
Positivliste erstellt, wonach Datenschutz-Folgenabschätzungen bei Trägern großer sozialer Einrichtungen,<br />
Inkassodienstleistungen, einer Anonymisierung besonderer Arten personenbezogener Daten nach<br />
Art.9 DSGVO oder auch der Kundensupport mittels künstlicher Intelligenz zwingend durchzuführen sind<br />
(vgl. Positivlisten zur Datenschutz-Folgenabschätzung; www.bvdnet.de/Aufsichtsbehoerden-veroeffentlich<br />
ten-positivlisten-zur-datenschutz-folgenabschaetzung).<br />
Hilfreich ist ferner auch das Standard-Datenschutz-Modell des BSI (Grundschutz, ISIS 12). Dieses<br />
Modell unterscheidet bei den Risikostufen nach Schutzklassen und der damit verbundenen jeweiligen<br />
Schutzwürdigkeit. So gehören zur Stufe eins all diejenigen personenbezogenen Daten, die frei zugänglich<br />
sind. Gemeint sind Daten aus Telefonbüchern, Internetseiten, Homepages etc.<br />
In der zweiten Stufe sind solche Daten eingestellt, die beschränkt öffentlich zugänglich sind, weil<br />
für diese ein berechtigtes Interesse des Einsichtnehmenden erforderlich ist. Beispiel: Melderegister,<br />
Grundbuch.<br />
In der dritten Stufe befinden sich diejenigen Daten, die die gesellschaftliche Stellung oder die wirtschaftlichen<br />
Verhältnisse der betroffenen Person berühren. Beispiel: Einkommen, Sozialleistungen.<br />
In der vierten Gruppe sind solche Daten, die die gesellschaftliche Stellung nicht nur berühren, sondern<br />
diese erheblich beeinträchtigen können. Beispiel: Verurteilung, Gesundheitsdaten, Pfändungen.<br />
Von der letzten Stufe werden alle übrigen Daten erfasst, wie z.B. diejenigen, die in den Bereich der<br />
sensiblen Daten nach Art. 9 DSGVO fallen. Ein typisches Beispiel sind hier biometrische Daten, aber auch<br />
die Gesundheitsdaten. Denn hier liegt ein besonderer Eingriff in den Persönlichkeitsbereich des Betroffenen<br />
vor.<br />
Wie eine solche Datenschutz-Folgenabschätzung inhaltlich konkret abzulaufen hat, ergibt sich unter<br />
Berücksichtigung der obigen Ausführungen explizit aus Art. 35 Abs. 7 u. 9 DSGVO.<br />
1146 <strong>ZAP</strong> Nr. <strong>21</strong> 7.11.<strong>2019</strong>