Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DSGVO) ist das Instrument der sogenannten Datenschutz-Folgenabschätzung (DSFA). Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.
Wann muss eine Datenschutz–Folgenabschätzung durchgeführt werden?
Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge, der sogenannten Schwellwertanalyse. Ergibt diese ein hohes Risiko für die Verarbeitung personenbezogener Daten, dann ist eine Datenschutz–Folgenabschätzung durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich.
Risikofaktoren die eine Datenschutz–Folgenabschätzung notwendig machen
Hierbei benennt Art. 35 DSGVO einige Faktoren, die wahrscheinlich zu einem hohen Risiko im Sinne des Art. 35 DSGVO führen. Nach Art. 35 Abs. 3 DSGVO hat eine DSFA insbesondere dann zu erfolgen, wenn
a) eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet oder
b) eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
c) eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
stattfindet. Dieser Katalog ist jedoch nicht abschließend. Gemäß Art. 35 Abs. 4 DSGVO veröffentlichen die Aufsichtsbehörden Listen mit Verarbeitungstätigkeiten, bei denen verpflichtend eine DSFA durchzuführen ist. Diese kann unter https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf aufgerufen werden.
Zu welchem Zeitpunkt sollte eine Datenschutz–Folgenabschätzung durchgeführt werden?
Eine DSFA ist möglichst immer vor der Aufnahme der zu betrachtenden Verarbeitungsvorgänge durchzuführen. Sie kann aber auch in bereits existente Verarbeitungsvorgänge integriert werden. Hierbei ist zu beachten, dass eine DSFA kein einmaliger Vorgang ist. Sollten sich zum Beispiel neue Risiken ergeben, die die Bewertung bereits erkannter Risiken ändern, so ist die DSFA zu überprüfen und anzupassen. Um dieses Vorgehen zu garantieren, wird ein stetiger, sich wiederholende Prozess empfohlen.
Ablauf einer Datenschutz–Folgenabschätzung
Die Bestandteile der Hauptprozessschritte stellen sich wie folgt dar:
Eine DSFA kann nur von einem interdisziplinären Team erstellt werden, dass Kompetenzen im Bereich Datenschutz, Risikoermittlung und Fachprozesse mitbringt. Der Datenschutzbeauftragte an sich steht beratend zur Verfügung. Die gesamte DSFA sollte anhand eines Prüfplans durchgeführt werden.
Ziele, Akteure und betroffene Personen definieren
In formaler Hinsicht sind die beabsichtigten Zwecke der Verarbeitungsvorgänge festzuhalten. Weiterhin sind Akteure und betroffene Personen zu identifizieren. Sodann findet eine Bewertung der Notwendigkeit der Verarbeitungsvorgänge in Bezug auf ihren geplanten Zweck statt. Hierbei ist zu prüfen, ob der durch die Datenverarbeitung bewirkte Eingriff in Rechte und Freiheiten der Betroffenen im Verhältnis zu dem angestrebten Zweck steht und ob der Eingriff zum Erreichen der Zwecke tatsächlich notwendig ist oder ob alternative Vorgehensweisen zur Verfügung stehen.
Rechtsgrundlage dokumentieren
Unter Zugrundelegung dieser Ausführungen ist dann die Rechtsgrundlage der geplanten Datenverarbeitungsvorgänge zu dokumentieren.
Bewertungsphase
Der Kern der DSFA stellt die sogenannte Bewertungsphase dar. Prinzipiell hatte sich im Bereich der IT- Sicherheit bzw. Informationssicherheit bewährt, Anforderungen als Schutzziele zu formulieren. Es haben sich sechs Schutzziele im Bereich des Datenschutzes etabliert. Den Risiken der Informationssicherheit wird mit der Sicherung der drei Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit begegnet. Aufbauend hierauf werden zusätzlich spezifische Datenschutzziele wie Nichtverfügbarkeit, Transparenz und Intervenierbarkeit als notwendig gesehen.
Hinter jedem dieser Schutzziele steht vor allem ein Katalog mit Maßnahmen zur Erreichung der Schutzziele in der Praxis. Bei der Betrachtung der Schutzziele ist zu berücksichtigen, dass konsequent die Betroffenenperspektive eingenommen wird.
Der Kern des Bewertungsvorgangs besteht im Vergleich der von dem Verantwortlichen geplanten bzw. in der Prüfung festgestellten Maßnahmen mit einem Katalog von Referenzmaßnahmen. Im Rahmen der Risikobewertung sind Abweichungen danach zu gewichten und zu beurteilen, inwieweit sie das Erreichen der Schutzziele gefährden. Aus Sicht der Aufsichtsbehörden besteht ein datenschutzrechtlicher Mangel, wenn eine solche Analyse ergibt, dass die Schutzziele nicht in ausreichendem Maße erfüllt werden.
Risikoanalyse
Aufbauend auf diesen Ergebnissen hat sodann eine klassische Risikoanalyse stattzufinden, d.h. es ist zu erfragen, ob und mit welcher Wahrscheinlichkeit die Organisation die Datenschutzbestimmungen nicht einhalten wird.
Plan zur Risikobehandlung
Auf der Grundlage der Bewertungsergebnisse wiederum ist ein Plan zur Risikobehandlung zu erstellen, in welchem die erforderlichen Schutzmaßnahmen angeführt werden.
Damit eine DSFA die geforderten Effekte erzielen kann, ist es abschließend notwendig, dass der Prozess umfänglich dokumentiert und in Form eines Berichts öffentlich zugänglich gemacht wird.
Sie sind auf der Suche nach einem sinnvollen Online-Tool, das sie bei der Durchführung der Datenschutz-Folgenabschätzug unterstützt?
Informieren Sie sich über unser Tool DSFA check IT: