Datenschutz-Folgenabschätzung – was genau ist das?

Die Datenschutz-Folgenabschätzung, kurz DSFA, ist grob gesagt die überholte Version der Vorabkontrolle nach §4 Abs. 5 BDSG. Mit der Einführung der Datenschutzgrundverordnung, kurz DSGVO, wurde auch die Datenschutz-Folgenabschätzung marktgängig.

Während die Vorabkontrolle nur dafür sorgte, dass der Datenschutzbeauftragte eine interne Prüfung der Datenverarbeitung vornehmen musste, unterzieht die Datenschutz-Folgenabschätzung die Unternehmen einer genaueren Kontrolle. Durch die DSFA gibt es nun eine zusätzliche Meldepflicht bei der zuständigen Aufsichtsbehörde.

Die Datenschutz-Folgenabschätzung ist ein sehr wichtiges Instrument zur Eindämmung von Risiken und Gewährleistung der Sicherheit bei der Datenverarbeitung.

Falls sich ein Auftragsverarbeiter in Ihrem Team befindet, ist dieser für die Datenschutz-Folgenabschätzung zuständig.

Der Betroffene könnte aufgrund der mangelhaften Verarbeitung beispielsweise seine Kreditwürdigkeit verlieren.

Außerdem kann es passieren, dass er diskriminiert und somit seinem Ruf schwer geschadet wird. Hinzu kommt, dass natürlich ein hoher finanzieller Schaden durch die Bekanntgabe von Kreditkartendaten verursacht werden kann.

Die Datenschutz-Folgenabschätzung gilt es laut Artikel 35 DSGVO immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Also genau dann, wenn bei Datenverarbeitungsvorgängen ein voraussichtlich hohes Risiko für die Rechte und Freiheiten einer natürlichen Person besteht.

Mit dem sogenannten PIA-Tool lässt sich die Datenschutz-Folgenabschätzung zum Beispiel durchführen. PIA kommt aus dem englischen und bedeutet Privacy Impact Assessment.

Die Software wurde von der Commission Nationale de Informatique et des Libertés, kurz CNIL, bereitgestellt und die französische Datenschutzaufsichtsbehörde arbeitet stets an dieser Software und sorgt für eine kontinuierliche Weiterentwicklung. Also genau dann, wenn bei Datenverarbeitungsvorgängen ein voraussichtlich hohes Risiko für die Rechte und Freiheiten einer natürlichen Person besteht.

Stellen Sie durch eine Risikoanalyse fest, ob die DSFA für bestimmte Datenverarbeitungsprozesse notwendig ist. Gehen Sie hierfür auf Datensuche, um sensible Daten auszumachen und mögliche Risiken zu analysieren und zu bewerten.

Die Datenschutzrisiken sind nach objektiven Kriterien zu ermitteln. Für jede konkrete Verarbeitung muss das jeweilige Risiko einzeln berücksichtigt werden.

• Betrachten Sie die Situation aus Sicht des Betroffenen
• Beurteilen Sie die Eintrittswahrscheinlichkeit des Risikos
• Bestimmten Sie hierfür die internen und externen Risikoquellen. (Hacker, IT-Administratoren, andere Wettbewerber)
• Verwenden Sie neue Technologien, um auf dem aktuellen Stand zu sein.
• Schätzen Sie außerdem die mögliche Schwere des Schadens aufgrund der Verarbeitungsart, des Verarbeitungsumfangs, den Verarbeitungsumständen und des Verarbeitungszwecks ein.

Kommen Sie nach der Risikoanalyse zu dem Schluss, dass eine DSFA erforderlich ist, informieren Sie die zuständige Aufsichtsbehörde.

Ein hoher Datenschutzbedarf bedeutet allerdings nicht sofort ein hohes Risiko.

Die DSFA muss die geplanten Verarbeitungsvorgänge mit den jeweiligen Verarbeitungszwecken exakt beschreiben. Außerdem muss über die berechtigten Interessen des Verantwortlichen informiert werden.

Die DSFA muss die Risiken für die Freiheit und Rechte des Betroffenen beurteilen und Auskunft über die Notwendigkeit und Verhältnismäßigkeit über die Erfassung der personenbezogenen Daten geben. Zudem wird angeführt, für welchen Zweck die Daten benötigt werden.

Auch müssen Verfahren oder Sicherheitsvorkehrungen aufgezeigt werden, mit deren Hilfe mögliche Risiken bewältigt werden können. Diese werden Abhilfemaßnahmen genannt, welche den Schutz der personenbezogenen Daten sicherstellen.

Wie oben schon erläutert, ist nicht für jedes Unternehmen die Pflicht vorgegeben, eine Datenschutz-Folgenabschätzung durchzuführen. Laut Artikel 35 Absatz 3 DSGVO sind jedoch alle öffentlichen und nichtöffentlichen Stellen, welche Profiling betreiben und dafür ein Scoringverfahren oder Ähnliches nutzen, um Daten zu verarbeiten, der DSFA-Pflicht unterlegen.

Dies gilt auch für die Stellen, die besondere Arten personenbezogener Daten in erheblichem Umfang speichern, nutzen und verarbeiten.

Dazu zählen unter anderem auch Angaben zu strafrechtlichen Verurteilungen und Straftaten.

Betroffen sind auch die öffentlichen und nicht öffentlichen Stellen, die vor allem per Videoüberwachung öffentliche Räume überwachen.

Eine Datenschutz-Folgenabschätzung ist nicht zwingend notwendig, wenn Sie beispielsweise einen täglichen Newsletter über eine Mailingliste an die Abonnenten versenden.

Das Gleiche gilt, wenn Internet-Händler für die Werbung auf Ihrer Seite Reichweiten oder Mediadaten angeben, welche das Nutzerverhalten der Einkäufer analysiert.

Datenverarbeitungsvorgänge mit einer hohen potenziellen Gefährdung der Rechte und Freiheiten der Betroffenen sollten ausgiebig geprüft und einer Risikoabschätzung unterzogen werden, um die Daten ausreichend zu schützen. Dieser Vorgang ist überaus wichtig und notwendig.

Prüfen Sie genau, wann und ob sie eine Datenschutz Folgeabschätzung benötigen und gehen so möglichen Risiken frühzeitig aus dem Weg.