Datenschutz-Folgenabschätzungen – Darauf sollten Sie vorbereitet sein!

20.08.2019

Die Datenschutzgrundverordnung setzt neue Maßnahme, um die Grundrechte einzelner Personen im Zeitalter der Digitalisierung besser zu schützen. Ihr Geltungsbereich reicht sprichwörtlich von A – wie Accountability – bis Z – wie Zweckbindung. Die DSGVO bringt neben neuen Pflichten auch neue Lösungen und Instrumente mit sich. Eines davon ist die Datenschutz-Folgenabschätzung – auch Privacy Impact Assessment genannt. Sie unterstützt Datenschutzverantwortliche bei der Einhaltung der neuen Verpflichtungen. Wann und wie genau die DFSA durchgeführt werden muss, ist allerdings auch so manchem erfahrenen Datenschützer nicht immer ganz ersichtlich.

Die DFSA in drei Schritten

Für die Datenschutzgrundverordnung genießt – wie im Datenschutz generell – der Schutz der Betroffenen die oberste Priorität. Um das Risiko bestimmten Datenverarbeitungen sowie die möglichen Folgen einer in diesen Fällen auftretenden Panne bereits im Vorfeld zu beleuchten, schreibt die DSGVO im Artikel 35 die Datenschutz-Folgenabschätzung für besonders risikobehaftete Prozesse vor. Mit der DFSA werden geplante Verarbeitungsvorgänge dokumentiert, die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitungsprozesse beurteilt sowie eventuelle Gefahren für die Rechte und Freiheiten der betroffenen Personen frühzeitig identifiziert. Darüber hinaus werden in der Datenschutz-Folgenabschätzung direkt die jeweiligen Abhilfemaßnahmen zur Bewältigung dieser Risiken definiert.

In der Regel läuft eine Datenschutz-Folgenabschätzung in den folgenden Schritten ab:

  • Beschreibung des Vorhabens und Verarbeitungszwecks
    Im ersten Schritt erfassen die Verantwortlichen den geplanten Datenverarbeitungsprozess. Dabei betrachten sie neben der Verarbeitung selbst auch den Verarbeitungszweck sowie die dafür Arten der erhobenen Datensätze von den betroffenen Personen und die möglicherweise beauftragten Subunternehmer. Auf diese Weise erfahren die Verantwortlichen, ob die geplante Datenverarbeitung datenschutzrechtlich geeignet ist, den gewünschten Zweck zu erreichen.
  • Datenschutzfolgen-Abschätzung und Risiko-Prüfung
    Der wohl wichtigste Schritt der Datenschutz-Folgenabschätzung: hierbei werden alle gebotenen (technisch-organisatorischen) Sicherheitsmaßnahmen der Datenverarbeitung aufgelistet. Hinzu kommen die potenziellen Rechtsfolgen im Falle eines Datenschutzvorfalls und deren Eintrittswahrscheinlichkeit. Anschließend überprüfen die Verantwortlichen die Eignung und Angemessenheit der geplanten Sicherheitsmaßnahmen und stufen sie gemäß ihrer Erkenntnisse ein. Erweisen sich die beschriebenen Sicherheitsmaßnahmen als unzureichend, sollten die Prozesse angepasst werden, um die erkannten Risiken zu senken.
  • Evaluierung und Anpassung
    Wie bei nahezu allen Prozessen – besonders im Datenschutz – gilt, dass sie nie abgeschlossen sind. Die DFSA und ihr Maßnahmen-Katalog sollten regelmäßig geprüft und gegebenenfalls angepasst werden. Da es selten bei einer einzigen Datenschutz-Folgenabschätzung innerhalb eines Unternehmens bleibt, ist es ratsam alle DFSA gebündelt an einer zentralen Stelle aufzubewahren.

Check- und Muss-Listen geben Orientierung

Die Auswahl verlässlicher Literatur zur DSGVO und ihren neuen Instrumenten ist noch begrenzt – schließlich wird sie erst seit kurzer Zeit in vollem Umfang angewandt. Orientierung bieten neben der Rechtsprechung auch diverse Kontrollinstanzen und Arbeitsgruppen mit ihren Muss- und Checklisten.

Doch leider umfassen auch die Muss-Listen der Datenschutz-Behörden nicht alle Fälle. Zahlreiche „Kann-Fälle“ finden keine Berücksichtigung. Hier kommt es auf die Einschätzung der Verantwortlichen an. Sie müssen die Verantwortlichen entscheiden, ob sie auf eine Datenschutz-Folgenabschätzung verzichten wollen oder ob sie – zumindest sicherheitshalber – eine DSFA durchführen.

Die Landesbeauftragte für den Datenschutz Niedersachsens gibt darüber hinaus eine Orientierungshilfe anhand verschiedener Kriterien. Werden folgende Kriterien durch den geplanten Datenverarbeitungsprozess erfüllt, wird die Notwendigkeit einer DFSA immer wahrscheinlicher:

  • Vertrauliche oder höchst persönliche Daten
  • Daten zu schutzbedürftigen Betroffenen
  • Datenverarbeitung in großem Umfang
  • Systematische Überwachung
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Bewerten oder Einstufen (Scoring)
  • Abgleichen oder Zusammenführen von Datensätzen
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

Diese Liste an Kriterien wird wie folgt kommentiert:

"Sind zwei dieser Kriterien erfüllt, ist in den meisten Fällen eine Datenschutz-Folgenabschätzung durchzuführen. Je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist es, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Es ist aber auch möglich, dass ein hohes Risiko gegeben ist, wenn nur ein Kriterium erfüllt ist."
Webseite der Landesbeauftragten für den Datenschutz Niedersachsen

Die Muss-Listen für den öffentlichen sowie den nicht-öffentlichen Bereich der LfD Niedersachsens finden Sie hier.

Kompaktes Praxiswissen im DFSA-Workshop

Gemeinsam mit dem erfahrenen Team vom Bitkom Consult bietet die Bitkom Akademie einen eintägigen Praxisworkshop zur DFSA an. In der Weiterbildung zur Datenschutz-Folgenabschätzung erklären unsere Experten, wann, was und wie umzusetzen ist, um eine DFSA erfolgreich durchzuführen. Darüber hinaus geben die Referenten einen Überblick, wie die Teilnehmenden mögliche Risiken erkennen und ein entsprechendes Risikomanagement einführen können.

Neben dem Praxisworkshop zur Datenschutz-Folgenabschätzung verfügt die Bitkom Akademie über ein breit gefächertes Angebot an Datenschutz-Seminaren. Alle Weiterbildungen im Datenschutz-Bereich finden Sie übersichtlich zusammengefasst in unserer neuen Bildungsjourney. Erfahren Sie mehr.

Neuen Kommentar schreiben

CAPTCHA
Um Bot-generierten Kommentaren vorzubeugen, bitten wir Sie, dieses Captcha zu lösen.
6 + 8 =
Solve this simple math problem and enter the result. E.g. for 1+3, enter 4.