Der erste Kontakt mit dem Begriff "Folgenabschätzung" ist meistens bei der
Einführung neuer Software gegeben. Die hier verlinkte Arbeitsanweisung nennt
§ 35 Abs. 1 KDG. Dieser bestimmt:
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
Übrigens, bei Einführung einer
Videoüberwachung ist immer eine Folgenabschätzung vorzunehmen.
Vom bayerischen Landesbeauftragten für den Datenschutz gibt es eine lesenswerte
Orientierungshilfe. Eine gute Linksammlung findet sich im
Dossier der Stiftung Datenschutz. Von der Konferenz der Diözesandatenschutzbeauftragten stammt eine
Praxishilfe.
§ 35 Abs.1 KDG ist eng an die Europäische Datenschutz-Grundverordnung angelehnt. Sie berücksichtigt aber nicht, dass es gerade im kirchlichen Bereich zahlreiche Dienststellen gibt, für welche die Durchführung eines solchen Verfahrens eine kaum zumutbare Aufgabe darstellen würde. Deswegen wurde bei Schaffung des KDG mit Absatz 3 der Vorschrift eine Erleichterung eingebaut:
Ist der Verantwortliche nach Anhörung des betrieblichen Datenschutzbeauftragten der Ansicht, dass ohne Hinzuziehung der Datenschutzaufsicht eine Datenschutz-Folgenabschätzung nicht möglich ist, kann er der Datenschutzaufsicht den Sachverhalt zur Stellungnahme vorlegen.
Das bedeutet nun allerdings nicht, dass der Verantwortliche die notwendige Arbeit dem Diözesandatenschutzbeauftragten zuschieben könnte. Er kann aber dessen Hilfe bei Klärung schwieriger Rechtsfragen einholen. In manchen Fällen kann man auch auf vorhandene
frühere Freigaben im kirchlichen oder staatlichen Bereich zurückgreifen und damit einen Teil der notwendigen Folgenabschätzung in den Griff bekommen. Wenn der Verantwortliche einer Dienststelle nach sorgfältiger Prüfung des Sachverhalts und Absprache mit seinem betrieblichen Datenschutzbeauftragten zu dem Ergebnis kommt, dass er die Rechtsauskunft der Datenschutzaufsicht braucht, beschafft er (i.d.R. vom Softwarehersteller) eine exakte Verfahrensbeschreibung und wendet sich an den Diözesandatenschutzbeauftragten. Dabei sollte er auch die Rechtsfragen formulieren, die ihm Schwierigkeiten bereiten. Hierzu wird er eine Auskunft des Diözesandatenschutzbeauftragten erhalten.
Vor einem bewahrt allerdings die Stellungnahme der Datenschutzaufsicht den Verantwortlichen (oder den geplagten betrieblichen Datenschutzbeauftragten) nicht:
Die notwendige Abwägung zwischen Risiko und Sicherheitsmaßnahmen..
Sie ist immer anhand der konkreten Verhältnisse in der kirchlichen Dienststelle vorzunehmen. Nur jemand, der mit deren Verhältnissen vertraut ist, kann auch erkennen, ob dem Gebot der Datensparsamkeit genügend
Rechnung getragen wird und welche besonderen Unsicherheiten wegen der Verhältnisse in der Dienststelle vorliegen. Wenn also der Verantwortliche seine Auskunft hat (oder sie nicht braucht), muss er sich an die Zusammenstellung der Angaben nach § 35 Abs. 7 KDG machen. Dazu gibt es im Internet eine große Anzahl von Hilfestellungen, von denen einige hier ausgewählt sind. Sie beziehen sich zwar alle auf die DS-GVO, doch ist dies unschädlich, weil deren Text im KDG nachgebildet ist.
Datenschutz.orgIHK MünchenRegina Stoiberreisswolf.com
Muster für Schulen - Bildungsportal NiedersachsenMuster für eine Riskoanalyse
Die Folgenabschätzung wird bei den Akten aufbewahrt und ist ggfs. bei einer Vor-Ort-Prüfung vorzulegen.
Frühere Stellungnahmen der kirchlichen Datenschutzaufsicht
Eine Besonderheit mit sehr aktuellem Bezug gibt es bei MS Office 365. Die Software ist im Hinblick auf den Drittlands-Bezug kritisch zu betrachten. Nähere Erläuterungen finden Sie hier.