Datenschutz-Folgenabschätzung für Hinweisgebersysteme in den Niederlanden nach zuständiger Datenschutzbehörde nicht zwingend erforderlich
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens, AP) hat eine Liste veröffentlicht, die eine Orientierungshilfe dahingehend bieten soll, welche Arten der Datenverarbeitung ein hohes Risiko darstellen und somit eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 der Datenschutz-Grundverordnung (DSGVO) erfordern.
Eine Datenschutz-Folgenabschätzung, ist gem. Art 35 DSGVO notwendig, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Ein Hinweisgebersystem, das gemäß dem niederländischen Whistleblower-Schutzgesetz („Wet bescherming klokkenluiders“) eingerichtet wird, ist in dieser Liste weiterhin nicht aufgeführt. Daraus lässt sich schließen, dass die AP eine Datenschutz-Folgenabschätzung für ein solches Hinweisgebersystem nicht als zwingend erforderlich ansieht.
Dies bedeutet für Unternehmen und Organisationen, die ein Hinweisgebersystem nach dem niederländischen Whistleblower-Schutzgesetz einrichten möchten, dass sie nicht verpflichtet sind, eine DSFA durchzuführen.
Dennoch sollten sie stets sicherstellen, dass alle anderen Datenschutzanforderungen gemäß DSGVO erfüllt werden, um die Rechte und Freiheiten der betroffenen Personen zu schützen.
Denn dass die niederländische Datenschutzbehörde dieses Thema durchaus ernst nimmt beweist folgender Sachverhalt
So hat die AP kürzlich eine Geldstrafe von 150.000 Euro gegen International Card Services BV (ICS) verhängt, weil das Unternehmen vor der Einführung digitaler Identifikationsverfahren keine DSFA durchgeführt hatte.
(Einzusehen hier) https://www.vpngids.nl/nieuws/ap-deelt-boete-van-150-000-euro-uit-aan-ics/
Zusätzlich gab es im Mai 2024 eine Mitteilung der AP, die verdeutlicht, dass Organisationen, die Kameras mit Gesichtserkennung verwenden möchten, so gut wie immer eine DSFA durchführen müssen.
Dies gilt auch für Unternehmen, die große Mengen personenbezogener Daten verarbeiten oder neue technologische Lösungen anwenden. Diese Anforderungen sind Teil der Bemühungen der AP, sicherzustellen, dass die Rechte und Freiheiten natürlicher Personen geschützt werden.