Folgenabschätzung

§ 35 Abs. 1 KDG:


Der erste Kontakt mit dem Begriff "Folgenabschätzung" ist meistens bei der Einführung neuer Software gegeben. Die hier verlinkte Arbeitsanweisung nennt § 35 Abs. 1 KDG. Dieser bestimmt:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Übrigens, bei Einführung einer Videoüberwachung ist immer eine Folgenabschätzung vorzunehmen. 

Vom bayerischen Landesbeauftragten für den Datenschutz gibt es eine lesenswerte Orientierungshilfe. Eine gute Linksammlung findet sich im Dossier der Stiftung Datenschutz. Von der Konferenz der Diözesandatenschutzbeauftragten stammt eine Praxishilfe.

§ 35 Abs.1 KDG ist eng an die Europäische Datenschutz-Grundverordnung angelehnt. Sie berücksichtigt aber nicht, dass es gerade im kirchlichen Bereich zahlreiche Dienststellen gibt, für welche die Durchführung eines solchen Verfahrens eine kaum zumutbare Aufgabe darstellen würde. Deswegen wurde bei Schaffung des KDG mit Absatz 3 der Vorschrift eine Erleichterung eingebaut:

Ist der Verantwortliche nach Anhörung des betrieblichen Datenschutzbeauftragten der Ansicht, dass ohne Hinzuziehung der Datenschutzaufsicht eine Datenschutz-Folgenabschätzung nicht möglich ist, kann er der Datenschutzaufsicht den Sachverhalt zur Stellungnahme vorlegen.

Das bedeutet nun allerdings nicht, dass der Verantwortliche die notwendige Arbeit dem Diözesandatenschutzbeauftragten zuschieben könnte. Er kann aber dessen Hilfe bei Klärung schwieriger Rechtsfragen einholen. In manchen Fällen kann man auch auf vorhandene frühere Freigaben im kirchlichen oder staatlichen Bereich zurückgreifen und damit einen Teil der notwendigen Folgenabschätzung in den Griff bekommen. Wenn der Verantwortliche einer Dienststelle nach sorgfältiger Prüfung des Sachverhalts und Absprache mit seinem betrieblichen Datenschutzbeauftragten zu dem Ergebnis kommt, dass er die Rechtsauskunft der Datenschutzaufsicht braucht, beschafft er (i.d.R. vom Softwarehersteller) eine exakte Verfahrensbeschreibung und wendet sich an den Diözesandatenschutzbeauftragten. Dabei sollte er auch die Rechtsfragen formulieren, die ihm Schwierigkeiten bereiten. Hierzu wird er eine Auskunft des Diözesandatenschutzbeauftragten erhalten.

Vor einem bewahrt allerdings die Stellungnahme der Datenschutzaufsicht den Verantwortlichen (oder den geplagten betrieblichen Datenschutzbeauftragten) nicht: 

Die notwendige Abwägung zwischen Risiko und Sicherheitsmaßnahmen.
.

Sie ist immer anhand der konkreten Verhältnisse in der kirchlichen Dienststelle vorzunehmen. Nur jemand, der mit deren Verhältnissen vertraut ist, kann auch erkennen, ob dem Gebot der Datensparsamkeit genügend
Rechnung getragen wird und welche besonderen Unsicherheiten wegen der Verhältnisse in der Dienststelle vorliegen. Wenn also der Verantwortliche seine Auskunft hat (oder sie nicht braucht), muss er sich an die Zusammenstellung der Angaben nach § 35 Abs. 7 KDG machen. Dazu gibt es im Internet eine große Anzahl von Hilfestellungen, von denen einige hier ausgewählt sind. Sie beziehen sich zwar alle auf die DS-GVO, doch ist dies unschädlich, weil deren Text im KDG nachgebildet ist.

Datenschutz.org

IHK München

Regina Stoiber

reisswolf.com

Muster für Schulen - Bildungsportal Niedersachsen

Muster für eine Riskoanalyse


Die Folgenabschätzung wird bei den Akten aufbewahrt und ist ggfs. bei einer Vor-Ort-Prüfung vorzulegen.
Frühere Freigaben durch die kirchliche Datenschutzaufsicht