Die Datenschutz-Grundverordnung (DSGVO) sieht vor, dass in bestimmten Fällen die Datenschutz-Aufsichtsbehörde konsultiert werden muss (Art. 36 DSGVO). Eine vorherige Konsultation bezeichnet den Fall, dass ein für die Verarbeitung Verantwortlicher die zuständige Aufsichtsbehörde konsultieren muss, bevor er mit der Verarbeitung personenbezogener Daten beginnt.
Eine vorherige Konsultation ist immer erforderlich, wenn eine Datenschutz-Folgenabschätzung zeigt, dass die geplante Verarbeitung ein hohes Risiko für die betroffenen Personen mit sich bringen würde und der Verantwortliche keine Möglichkeit hat, Maßnahmen zur Verringerung des Risikos zu ergreifen. Ein solches hohes Risiko könnte mit bestimmten Arten der Verarbeitung, dem Umfang und der Häufigkeit der Verarbeitung verbunden sein, die für die betroffenen Personen eine Schädigung oder eine Beeinträchtigung der Rechte und Freiheiten mit sich bringen könnte. Die zuständige Datenschutzbehörde sollte beispielsweise konsultiert werden, wenn den betroffenen Personen erhebliche oder dauerhafte Folgen drohen, die sie möglicherweise nicht überwinden können.
Ein konkretes Beispiel hierfür wäre Folgendes:
durch die Verarbeitung entsteht ein unrechtmäßiger Zugang zu Daten, der die berufliche oder finanzielle Position der betroffenen Personen dauerhaft gefährden würde. Der Eintritt des Risikos ist nahezu sicher. Es gibt keine Möglichkeit, die Anzahl der Personen, die auf die Daten zugreifen können, zu reduzieren (aufgrund der Notwendigkeit der gemeinsamen Nutzung der Daten). Außerdem können die bekannten Schwachstellen nicht behoben werden. In einer solchen Situation ist die Konsultation der Behörden unerlässlich. Allerdings kann eine vorherige Konsultation der Aufsichtsbehörde erst dann erfolgen, wenn der Verantwortliche eine Datenschutz-Folgenabschätzung durchgeführt hat.
Gemäß Art. 36 Abs. 3 DSGVO hat der Verantwortliche bei der Konsultation der Aufsichtsbehörde folgende Informationen zur Verfügung zu stellen:
- Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
- die Zwecke und die Mittel der beabsichtigten Verarbeitung;
- die zum Schutz der Rechte und Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien;
- die Kontaktdaten des Datenschutzbeauftragten;
- die Datenschutz-Folgenabschätzung.
Planen Sie eine Verarbeitung personenbezogener Daten, die zu einem hohen Risiko für die betroffenen Personen führen kann? Analysieren Sie, welche Risiken die Verarbeitung personenbezogener Daten mit sich bringen kann, und nehmen Sie geeignete Sicherheitsmaßnahmen vor. Dokumentieren Sie die Ergebnisse, damit Sie nachweisen können, dass Sie die DSGVO einhalten.
Auf der Grundlage Ihrer Risikoanalyse entscheiden Sie dann, ob Sie eine Datenschutz-Folgenabschätzung vornehmen müssen. Kurz gesagt: es geht darum, vorsorglich zu handeln, Risiken zu vermeiden und so die Rechte und Freiheiten der betroffenen Personen zu schützen. Ziel ist es, die Risiken im Zusammenhang mit einer solchen risikobehafteten Verarbeitung personenbezogener Daten zu minimieren. Brauchen Sie Unterstützung bei der Durchführung der Risikoanalyse, bei der Erstellung der Datenschutz-Folgenabschätzung oder bei der Vorbereitung der Dokumentation für die Konsultation der Datenschutz Aufsichtsbehörden? Unser Expertenteam steht Ihnen gerne mit maßgeschneiderten Lösungen zur Verfügung.