Datenschutzfolgeabschätzung: was ist eine DSFA und wie wird diese umgesetzt?

Was versteht man unter einer Datenschutzfolgeabschätzung?

Risk management amico

Die Datenschutzgrundverordnung DSSGVO basiert auf der Risikoabwägung. Teil dieser Regelung ist die Datenschutzfolgeabschätzung (DSFA), welche für verantwortliche Unternehmen in bestimmten Fällen oder Prozessen eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken erfordert.

Vor der Einführung der DSGVO im Mai 2018 wurde diese Risikoabwägung mittels der Vorabkontrolle (§ 4d Abs. 5 BDSG a.F.) durchgeführt.

Diese war immer dann erforderlich, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG a.F. verarbeitet oder die Datenverarbeitung dazu genutzt wurde, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens, zu bewerten.

Sowohl bei der Vorabkontrolle als auch bei der Datenschutzfolgeabschätzung prüft der Datenschutzbeauftragte die besonderen Risiken des Verfahrens für die Rechte und Freiheiten des Betroffenen und gibt am Ende eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab.

Dies dient der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Auf dieser Grundlage sollen angemessene Maßnahmen ergriffen werden, um die identifizierten Risiken für die Persönlichkeitsrechte der Betroffenen zu minimieren und die Datenschutzkonzepte anzupassen.

Wann muss eine Datenschutzfolgeabschätzung durchgeführt werden?

Im Vorfeld einer Datenschutzfolgeabschätzung, sollte zunächst eine Schwellwertanalyse durchgeführt werden, um festzustellen, ob die Verarbeitung der Daten einem hohen Risiko unterliegen.

In Artikel 35 Absatz 3 DSGVO werden zudem Regelbeispiele genannt, die eine Durchführungspflicht einer solchen Abschätzung nach sich ziehen:

  • Eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf automatisierter Verarbeitung und Profiling beruht, und die als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese auf ähnliche Weise erheblich beeinträchtigen.
  • Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 der DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 der DSGVO.
  • Eine systematische, weiträumige Überwachung öffentlich zugänglicher Bereiche.

Im Rahmen ihrer Zuständigkeit sind die Aufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO dazu angehalten, eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine DSFA nach Art. 35 Abs. 1 DSGVO durchgeführt werden muss.

Es stehen deutsche Positivlisten für die Datenschutzfolgenabschätzung sowie eine abgestimmte Version der Datenschutzkonferenz zur Verfügung.

Zusätzlich enthält Art. 35 Abs. 5 DSGVO eine Ermächtigung für die Aufsichtsbehörden, eine Liste von Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen keine Datenschutzfolgeabschätzungen durchgeführt werden müssen.

Die Positivlisten der Aufsichtsbehörden

Diese Angaben machen es aber immer noch recht schwierig, herauszufinden, in welchem konkreten Fall eine Datenschutzfolgeabschätzung durchzuführen ist. Zu diesem Zweck veröffentlichen die Aufsichtsbehörden der einzelnen Bundesländer sogenannte Positivlisten. Darin sind zahlreiche Verarbeitungsvorgänge aufgelistet, die eine DSFA erforderlich machen.

Hier finden Sie die Positivlisten einiger Bundesländer:

Diese Listen erheben keinen Anspruch auf Vollständigkeit, sind aber trotzdem hilfreiches Material von offizieller Seite, mit dem sich leichter herausfinden lässt, für welche Verarbeitungsvorgänge eine DSFA vorzunehmen ist.

Dieses Whitepaper des Forum Privatheit liefert zusätzliche Informationen über Erforderlichkeit und Ablauf einer Datenschutzfolgeabschätzung.

Eine Datenschutzfolgeabschätzung ist alles andere als eine Seltenheit, sondern in vielen Bereichen notwendig. So wurde zum Beispiel auch für die Corona-Warn-App oder Apps von Microsoft 365 eine DSFA durchgeführt.

Wie ist eine Datenschutzfolgeabschätzung durchzuführen?

Die Datenschutz-Grundverordnung (DSGVO) legt in Artikel 35 Absatz 7 bestimmte Mindestanforderungen fest, die bei der Durchführung einer Datenschutz-Folgenabschätzung erfüllt werden müssen.

Diese beinhaltet:

  • eine detaillierte Beschreibung der geplanten Verarbeitungsprozesse und der Zwecke dieser Verarbeitung, möglicherweise einschließlich der berechtigten Interessen des für die Verarbeitung Verantwortlichen.
  • eine Bewertung, ob die Durchführung der Verarbeitungsprozesse notwendig und angemessen ist im Hinblick auf den jeweiligen Zweck.
  • eine Einschätzung über Risiken bezüglich Rechten und Freiheiten von betroffenen Personen.
  • geplante Maßnahmen zur Bewältigung dieser Risiken, einschließlich Sicherheitsvorkehrungen und Prozeduren zum Schutz personenbezogener Daten sowie dem Nachweis ihrer Einhaltung gemäß den Bestimmungen dieser Verordnung unter Berücksichtigung der Rechte und berechtigten Interessen von Betroffenen.

Es wird empfohlen, den Datenschutzbeauftragten zu konsultieren, wenn eine Datenschutzfolgenabschätzung durchgeführt wird gemäß Artikel 35 Absatz 2 der DSGVO.

Was muss nach Art. 35 Abs. 4 DSGVO in die Datenschutzfolgeabschätzung?

Als Verantwortlicher unterliegt man gemäß der Datenschutz-Grundverordnung (DS-GVO) einer wichtigen Pflicht. Bei allen Arten von Datenverarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnten, muss die eine Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO durchgeführt werden.

Die Durchführung dieser DSFA ist unerlässlich, um geplante Verarbeitungsprozesse systematisch zu beschreiben sowie ihre Notwendigkeit und Angemessenheit zu bewerten. Zudem müssen mögliche Risiken für betroffene Personen eingeschätzt werden - nur so kann im Vorfeld Abhilfe geschaffen werden.

Im Rahmen der DSFA sollen also nicht nur potenzielle Gefahren aufgedeckt sondern auch konkrete Maßnahmen zur Minimierung oder Beseitigung derselben festgelegt werden. Dies stellt einen grundlegenden Schritt in Richtung eines effektiven Datenschutzes dar - sowohl für den einzelnen als auch das Unternehmen selbst.

Im Rahmen der DSGVO ist es gemäß Artikel 35 Absatz 4 erforderlich, dass die Aufsichtsbehörden eine Liste von Verarbeitungsvorgängen erstellen. Diese Vorgänge müssen einer Datenschutzfolgeabschätzung unterzogen werden, da sie ein hohes Risiko für die Freiheiten und Rechte natürlicher Personen darstellen. Die genannte Liste wird auch als Muss-Liste oder Blacklist bezeichnet.

Die Einträge auf dieser Blacklist basieren auf den Leitlinien der Art.-29-Gruppe. Um das Risiko eines bestimmten Verarbeitungsvorgangs zu bestimmen gibt es maßgebliche Kriterien (siehe S.10ff) , welche in diesen Richtlinien enthalten sind:

  1. Vertrauliche oder höchst persönliche Daten
  2. Daten zu schutzbedürftigen Betroffenen
  3. Datenverarbeitung in großem Umfang
  4. Systematische Überwachung
  5. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  6. Bewerten oder Einstufen (Scoring)
  7. Abgleichen oder Zusammenführen von Datensätzen
  8. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

Sollten zwei der genannten Kriterien erfüllt sein, ist in den meisten Fällen eine Datenschutzfolgeabschätzung erforderlich. Mit zunehmender Anzahl an erfüllten Kriterien steigt die Wahrscheinlichkeit einer notwendigen Durchführung dieser Abschätzung.

Allerdings kann auch schon bei Erfüllen eines einzigen Kriteriums ein hohes Risiko bestehen und somit eine Folgenabschätzung vonnöten sein.

Für jeden Verarbeitungsvorgang, der in der Liste aufgeführt ist, muss eine Datenschutzfolgenabschätzung durchgeführt werden. Es sollte jedoch beachtet werden, dass die Liste nicht vollständig ist. Wenn ein bestimmter Verarbeitungsvorgang nicht aufgelistet wird, bedeutet dies keinesfalls automatisch das Fehlen einer erforderlichen Datenschutz-Folgenabschätzung für diesen Vorgang. In diesem Fall sollten Artikeln 35 Absatz 3 oder einem hohen Risiko gemäß Artikel 35 Absatz 1 DSGVO Beachtung geschenkt und geprüft werden.

Gemäß Artikel 6 Absatz 1 DSGVO ist eine Verarbeitung nur dann legal, wenn sie auf einer der dort genannten Bedingungen beruht. Diese Liste hat keine Aussagekraft darüber, ob für einen bestimmten Verarbeitungsvorgang eine Rechtsgrundlage besteht oder nicht. Ein Eintrag in dieser Liste bedeutet daher weder automatisch ein Verbot noch die Möglichkeit einer Durchführung allein auf Basis einer Datenschutzfolgeabschätzung.

Sofern ein Verantwortlicher ohne vorherige Durchführung einer Datenschutzfolgeabschätzung hochriskante Verarbeitungsvorgänge durchführt, kann die zuständige Aufsichtsbehörde aufgrund eines Verstoßes gegen Art. 35 Abs. 1 DSGVO von ihren Abhilfebefugnissen Gebrauch machen, einschließlich der Möglichkeit zur Geldbußenverhängung gemäß Art. 83 Absatz 4 DSGVO. Gegen den Beschluss der Aufsichtsbehörde kann mittels des Rechtsweges nach Art.78 DSGVO vorgegangen werden.

Hilfe bei der Durchführung einer Datenschutzfolgeabschätzung (DSFA)

hilfe

Im Rahmen der Umsetzung der DSGVO hat die Konferenz der Datenschutzbehörden des Bundes und der Länder zwei Kurzpapiere veröffentlicht. Diese beinhalten Nr. 5 zur Datenschutzfolgeabschätzung sowie Nr. 18 zum Risikobegriff, welche neben weiteren hier einsehbar sind.

Auch die Art.-29-Gruppe als unabhängiges europäisches Beratungsgremium für den Schutz personenbezogener Daten und Privatsphäre hat eine Leitlinie erstellt, um über Datenschutzfolgeabschätzungen und dem Risikobegriff aufzuklären - diese ist ebenfalls abrufbar.

Die Schwellwertanalyse

Im Grunde genommen lässt sich eine Schwellenwertanalyse (auch als "threshold analysis" bezeichnet) nicht direkt aus dem Gesetz ableiten. Vielmehr ergibt sie sich logischerweise aus den Vorgaben des Artikels 35 Absatz 1, 3 und 4 DSGVO und kann als Risikoanalyse betrachtet werden.

Ziel ist es dabei herauszufinden, ob überhaupt eine Datenschutzfolgeabschätzung (DSFA) erforderlich ist - hierzu wird das bestehende Risikoniveau ermittelt. Ist dieses besonders hoch, muss unbedingt eine Datenschutzfolgeabschätzung (DSFA) durchgeführt werden.

Um zu entscheiden, wie groß die Gefahr tatsächlich einzuschätzen ist erfolgt zunächst ein Abwägungsprozess: dabei geht es darum festzulegen welche Eintrittswahrscheinlichkeit besteht sowie welches Ausmaß an Schaden dadurch entstehen könnte – denn dies gibt Aufschluss darüber inwiefern ein mögliches Risiko vorliegt oder eben auch nicht existiert.

Von daher ähnelt die systematische Durchführung einer Schwellewertanalyse stark jener von Sicherheitsanalysen im Bereich Informationstechnologie; allerdings liegt ihr Fokus auf einem anderen Aspekt: hierbei steht explizit das potentielle Rechtsrisiko hinsichtlicher der Freiheiten betroffener natürlicher Personen bezüglich deren personenbezogener Daten im Zentrum.

Welche Aufgabe hat der Datenschutzbeauftragten bei der Datenschutzfolgeabschätzung (DSFA)

  • Es ist erforderlich, dass die für den Datenschutz verantwortliche Stelle sich mit dem Datenschutzbeauftragten berät.
  • Es gehört zu den Verantwortlichkeiten eines Datenschutzbeauftragten, dass er auf Anfrage Beratung in Bezug auf die Umsetzung einer Bewertung der Auswirkungen des Datenschutzes bietet und deren Durchführung überwacht.

Welche Schäden verhindert eine Datenschutzfolgeabschätzung?

Eine Datenschutzfolgeabschätzung soll die Risiken für Sicherheitsvorfälle und Datenschutzverstöße minimieren. Außerdem gibt sie Unternehmen die Möglichkeit, im Falle von vorhandenen Risiken ihr Datenschutzkonzept anzupassen. Aber welche Risiken gibt es überhaupt? Eine Datenschutzfolgeabschätzung verhindert eine Reihe von möglichen Schäden, genauer gesagt einer Einschränkung der Rechte und Freiheiten Betroffener, darunter gesellschaftliche und wirtschaftliche Nachteile wie:

  • Diskriminierung
  • Rufschädigung
  • Bloßstellung
  • Finanzielle Schäden
  • Existenzgefährdung
  • Arbeitsplatzverlust
  • Identitätsdiebstahl

Diese Schäden können geringer oder höher ausfallen, sind jedoch in jedem Fall zu verhindern. Kommt es durch falsche Datenverarbeitungsvorgänge zu einem solchen Schaden für Betroffene, hat das auch negative Auswirkungen auf den Ruf und womöglich auch die Finanzen eines Unternehmens. Umso wichtiger ist es, die Verpflichtung zur Durchführung einer Datenschutzfolgeabschätzung ernst zu nehmen.

Wie läuft eine Datenschutzfolgeabschätzung ab?

Eine DSFA läuft immer nach dem gleichen Prinzip ab. Sie erstellen einen umfangreichen Bericht, in dem Sie

  1. die Datenverarbeitungsvorgänge in Ihrem Unternehmen beschreiben und begründen;
  2. Sie die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitungsvorgänge evaluieren;
  3. Sie die Risiken der Datenverarbeitungsvorgänge für die Rechte und Freiheiten Betroffener bewerten;
  4. Sie die Maßnahmen beschreiben, mit denen Sie diese Risiken minimiert haben;
  5. Sie beschreiben, wie Ihr Unternehmen mit noch bestehen Risiken und möglichen Sicherheitsvorfällen

Die Datenschutzfolgeabschätzung (DSFA) müssen Unternehmen auf Anfrage der Aufsichtsbehörde vorlegen. Können sie das nicht oder ist die Datenschutzfolgeabschätzung (DSFA) mangelhaft, droht Unternehmen ein hohes Bußgeld. Es lohnt sich also, die Datenschutzfolgeabschätzung (DSFA) gewissenhaft durchzuführen. Das übernimmt im Regelfall der jeweilige Datenschutzbeauftragte.

Die Datenschutzfolgeabschätzung (DSFA) dient dazu, Risiken zu beschreiben, bewerten, einzuschätzen und zu verringern. Sollte sich ein (sehr) großes Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren lassen, ist es erforderlich, vor der Nutzung der Anwendung eine Erlaubnis von der verantwortlichen Datenschutzaufsichtsbehörde einzuholen.

Referenzen

blackroll logo softblack with claim below RGB 1
Hurrle
HD
LiveKid
TheaterAugs
KaiKoenig
FG
miromatic
fakturdigital
LandkrRavensbur