Frankreichs Datenschutzbehörde CNIL hat ein Unternehmen mit einem Bußgeld in Höhe von 3,5 Mio.€ belegt unter anderem aufgrund einer fehlenden Datenschutz-Folgenabschätzung (DSFA).
Was war passiert?
Die CNIL stellte fest, dass das betroffene Unternehmen zwar eine Einwilligung für die Teilnahme an einem Loyalty Programm eingeholt, aber in der Einwilligung nicht ergänzt, dass die Daten auch an ein Social Media Unternehmen für Profil-Matching und personalisierte Werbezwecke weitergegeben werden. Somit war die Einwilligung nicht informiert und spezifisch und die Verarbeitung unrechtmäßig.
Zu der Höhe des Bußgelds führten weitere Verstöße, darunter die unzureichende Umsetzung der Informationspflichten, der technischen sowie organisatorischen Maßnahmen sowie die fehlende DSFA.
Wann ist eine DSFA verpflichtend?
Die DSGVO schreibt eine DSFA vor, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt (Art. 35 Abs. 1 DSGVO). Doch wann ist das der Fall?
- Leitlinien der Artikel-29-Datenschutzgruppe
In ihren Leitlinien (WP 248) hat die Arbeitsgruppe neun Kriterien definiert, bei deren Vorliegen häufig ein hohes Risiko besteht und damit eine DSFA erforderlich wird. Besonders relevant im Zuge des CNIL-Bußgelds sind dabei:
5. Datenverarbeitung in großem Umfang („Data processed on a large scale“)
6. Abgleichen oder Zusammenführen von Datensätzen („Matching or combining datasets“)
Wichtig: Je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist es, dass eine DSFA durchzuführen ist. Aber auch, wenn nur ein Kriterium erfüllt ist, kann bereits ein hohes Risiko vorliegen.
- DSFA „Muss“-Liste der Datenschutzbehörden
Zusätzlich zu den allgemeinen Kriterien haben viele Datenschutzbehörden sogenannte „Muss“-Listen veröffentlicht, in denen konkret benannte Verarbeitungstätigkeiten aufgeführt sind, die immer eine DSFA erfordern. In Deutschland hat die Datenschutzkonferenz (DSK) eine solche Liste erstellt.
Was sollten Unternehmen jetzt tun?
Prüfen Sie anhand der Leitlinien der Artikel-29-Datenschutzgruppe und der DSFA „Muss“-Liste der Datenschutzbehörden, ob Ihre Datenverarbeitung eine DSFA erfordert. Falls erforderlich, führen Sie die DSFA durch und dokumentieren Sie Ihre Einschätzung.
Sie sind unsicher, ob Ihre Datenverarbeitung eine DSFA erfordert? Gerne unterstützen wir Sie bei der Risikoanalyse und Erstellung einer DSFA, sprechen Sie uns an!