Setzt man sich mit dem Thema Datenschutz-Folgenabschätzung auseinander, kommen wahrscheinlich viele Fragen auf: Wer ist zuständig? Wie muss sie aussehen? Ist das überhaupt nötig, kann man das nicht umgehen? Nein, kann man nicht. Nach Art. 35 DSGVO sind Unternehmen zu einer Datenschutz-Folgenabschätzung (DSFA) verpflichtet bei Datenverarbeitungsprozessen, welche ein hohes Risiko für die Betroffenen bergen. Was ein hohes Risiko ist, verraten wir weiter unten im Text.
Was ist eine Datenschutz-Folgenabschätzung (DSFA) konkret?
Die DSFA ist ein Instrument, welches die Risiken bei Datenverarbeitungsprozessen beschreibt, bewertet und voraussichtliche Risikoabhilfemaßnahmen definiert. Sie schätzt die Folgen der geplanten Verarbeitungsvorgänge für den Schutz personenbezogener Daten ab. Unter Verarbeitung versteht sich nach Art. 4 Abs. 2 DSGVO alle Verfahren im Zusammenhang mit personenbezogenen Daten. Das deckt also eine ganze Menge ab: Von der Datenerhebung und Speicherung bis hin zu ihrer Löschung und Vernichtung.
Wer ist für die DSFA verantwortlich?
Die Durchführung einer DSFA ist Aufgabe des Verantwortlichen des Verarbeitungsprozesses. Erstellt wird die DSFA aber am besten in einem interdisziplinären Team. So fließen zahlreiche Sichtweisen aus Bereichen wie Datenschutz, Risikoermittlung und Fachprozesse in den Bericht ein. Der Datenschutzbeauftragte* berät das Team über den gesamten Prozess hinweg.
Wann muss eine DSFA durchgeführt werden?
Eine DSFA ist zwingend notwendig bei Datenverarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge haben. Das Risiko kann aus der Art, dem Umfang, den Umständen und Zwecken der Verarbeitung resultieren. Die DSFA kann somit nicht nur für neue Verarbeitungsprozesse relevant sein, sondern auch bei bestehenden, wenn sich diese Vorgänge beispielsweise verändern.
Wie entscheidet man nun, ob das eigene Vorhaben so riskant ist? Wichtig ist, dass es bei der Bewertung immer nur um das Risiko des eventuell Betroffenen geht – nie um das Risiko für das Unternehmen. Es lohnt sich, einen Blick in den Erwägungsgrund 91 der DSGVO zu werfen. Dieser listet Verarbeitungsprozesse auf, welche immer eine DSFA erfordern und stellt damit einen ersten Orientierungspunkt dar.
Sehr hilfreich sind außerdem sogenannte Blacklists. Auch sie definieren Verarbeitungsprozesse, bei denen immer eine DSFA durchgeführt werden muss. Die Datenschutzbehörden aller Bundesländer haben selbst eigene Listen veröffentlicht. Zwei Beispiele solcher Zusammenstellungen für den nicht-öffentlichen Bereich sind die Blacklist der bayerischen Landesbeauftragte für Datenschutz (BayLfD) oder die Blacklist der Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI).
Übrigens gibt es auch Whitelists, die optional von den zuständigen Aufsichtsbehörden bereitgestellt werden. Sie listen Verarbeitungsprozesse auf, die von einer DSFA-Pflicht ausgenommen sind. Das kann besonders hilfreich sein, wenn die eigene Datenverarbeitung weder auf Blacklists noch im Erwägungsgrund 91 erwähnt ist.
Wenn die geplante Datenverarbeitung nirgends erwähnt wird, schätzt man als Verantwortlicher eigenständig ab, ob es eine DSFA erfordert. Das Tool dafür nennt sich Schwellwertanalyse. Die Risiken werden hinsichtlich ihrer Schwere und Eintrittswahrscheinlichkeit bewertet, um ein allfälliges hohes Risiko zu ermitteln. Ein ausführliches Beispiel zur Schwellwertanalyse sowie eine Mustervorlage für eine DSFA stellt beispielsweise die Datenschutzbeauftragte Regina Stoiber bereit. Ein weiteres hilfreiches Prüfschema inklusive einer beispielhafte DSFA finden sich auch wiederum beim BayLfD.
Falls nach wie vor unklar ist, ob eine DSFA notwendig ist, empfiehlt Datenschutz-Guru Rechtsanwalt Stephan Hansen-Oest "in dubio pro DSFA"! Schaden kann sie nämlich nie. Im Zweifelsfall lieber eine schlanke Datenschutz-Folgenabschätzung als gar keine. Damit schützt man sich sicherheitshalber vor etwaigen Bußgeldern.
Wie muss ich vorgehen?
Die Erstellung der DSFA versteht sich als iterativer Vorgang aus Vorbereitung, Durchführung, Umsetzung und Überprüfung. Regelmäßige Prüfroutinen sichern also, dass die DSFA stets auf dem neuesten Stand ist. Für weitere Ausführungen empfiehlt sich das Kurzpapier der Datenschutzkonferenz.
Es gibt übrigens nicht die eine richtige oder falsche Vorgehensweise. Die Verantwortlichen haben die Qual der Wahl, um eine machbare Methodik für sich zu finden. Das kann beispielsweise die ISO-Norm ISO/IEC 29134 oder das Standard-Datenschutzmodell (SDM) sein. Unabhängig davon, muss die DSFA allerdings gewisse Mindestanforderungen nach Art. 25 Abs. 7 DSGVO beinhalten:
- Systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie deren Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- Zur Bewältigung der Risiken geplanten Abhilfemaßnahmen
Ein hilfreiches Instrument zur DSFA-Erstellung ist das PIA-Tool. Die französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l’informatique et des Libertés (CNIL) stellt dieses Instrument bereit und entwickelt es kontinuierlich weiter. Das PIA-Tool ermöglicht es, den ganzen Arbeitsprozess ganz einfach und gebündelt abzuhandeln. Das Resultat ist eine gelungene DSFA, die allen nötigen Kriterien entspricht.
Weitere hilfreiche Dokumente
DSFA Muster nach Art. 35 DSGVO in Anlehnung an die ISO-Norm der BayLfD
DSFA Muster nach Art. 35 DSGVO in Anlehnung an das SDM (Datenschutzzentrum)
Zahlreiche Vorlagen für die DSFA sowie deren ausführlicheren Erläuterung (BayLfD)
Sie haben weitere Fragen zu Datenschutz und Informationssicherheit? REISSWOLF steht Ihnen gerne zur Seite. Wir informieren regelmäßig in kostenlosen Best Practise-Webinaren, wie man kompetent mit Daten umgeht und Risiken vermeidet. Zur aktuellen Themenübersicht.
*w/m/d