Es gibt Datenverarbeitungsvorgänge, die kein sonderlich hohes Risiko für die Betroffenen darstellen, deren Daten verarbeitet werden. Wenn Sie sich zum Beispiel für den Newsletter Ihres Sportvereins eintragen, können maximal Ihre E-Mail-Adresse, Ihr Name und die Tatsache, dass Sie sich für diesen Verein interessieren, an die Öffentlichkeit geraten.
Anders sieht es zum Beispiel aus, wenn strafrechtlich relevante Daten verarbeitet werden oder Sie im öffentlichen Bereich überwacht werden. Für Fälle wie diese gelten laut DSGVO besondere Schutzmaßnahmen. Die Datenschutz-Folgeabschätzung ist eine davon.
In der DSGVO heißt es:
„Grundsätzlich ist die Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.“
Die Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess zur Analyse der Risiken und der Bewertung der möglichen Folgen von spezifischen Verarbeitungsvorgängen personenbezogener Daten. In einigen Fällen ist sie zwingend erforderlich. Wir zeigen Ihnen, wann die Durchführung einer DSFA notwendig ist und was Sie dabei unbedingt beachten sollten.
Das Wichtigste in Kürze
- Seit dem 25. Mai 2018 gilt die DSGVO im Datenschutz und bringt unter anderem eine Neuerung mit sich: die Datenschutz-Folgenabschätzung. Diese ist ein Mittel, um die Risiken für persönliche Rechte und Freiheiten von Personen, deren Daten verarbeitet werden, zu analysieren, zu bewerten und darauf basierend Maßnahmen zur Risikominimierung zu treffen.
- Die Notwendigkeit und Verhältnismäßigkeit von Verarbeitungsvorgängen mit voraussichtlich hohem Risiko müssen durch die DSFA analysiert und die Risiken für die Betroffenen reduziert werden. Zuständig ist ein festgelegtes Team sowie – in beratender Funktion – der Datenschutzbeauftragte (DSB) der Firma.
- Bestimmte Verarbeitungsvorgänge bedingen die Folgenabschätzung. Diese sind in Artikel 35 DSGVO, sowie bei der zuständigen Aufsichtsbehörde nachzulesen.
In diesem Beitrag
- Die Datenschutz-Folgenabschätzung laut Artikel 35, DS-GVO
- Wann ist die Datenschutz-Folgenabschätzung nötig?
- Zuständigkeit für die DSFA
- Inhalte der DSFA
- Datenschutz-Folgenabschätzung: Vorlage für den Ablauf
- Fazit: Datenschutz-Folgenabschätzung als hilfreiches Werkzeug
Die Datenschutz-Folgenabschätzung laut Artikel 35, DSGVO
Die Datenschutz-Folgenabschätzung laut der DS-GVO sieht vor, dass vor einer Datenverarbeitung die Risiken und mögliche Folgen der Datenverarbeitung überprüft, dokumentiert und minimiert werden. Sie wird Artikel 35 der Datenschutz-Grundverordnung geregelt und stellt eine Form der Risikoanalyse dar. Sie dient dazu, dass Gefahren, die sich durch die Erhebung und Verarbeitung von personenbezogenen Daten ergeben, vermieden werden und regt zur Entwicklung entsprechender Strategien an.
Das für die Datenschutz-Folgenabschätzung zuständige Team in einem Unternehmen entscheidet anhand von verschiedenen Kriterien in einer Voranalyse, wie hoch die voraussichtlichen Risiken bei der Datenverarbeitung ausfallen. Bei einem hohen oder sehr hohen Risiko wird die Datenschutz-Folgenabschätzung oder kurz DSFA vorgenommen. In bestimmten Fällen wird sie sogar durch die entsprechende Aufsichtsbehörde vorgeschrieben. Der Datenschutzbeauftragte spielt eine wichtige Rolle bei der Folgenabschätzung.
Ganz neu ist das Verfahren nicht Wenn Sie sich schon länger mit dem Datenschutzrecht beschäftigen, wird Ihnen das Instrument der DSFA nicht gänzlich unbekannt sein. Es handelt sich um eine Art Vorabkontrolle im Vorfeld der Verarbeitung persönlicher Daten. Diese war auch vor der Datenschutz-Folgenabschätzung der DS-GVO laut Bundesdatenschutzgesetz (BDSG-alt) bereits erforderlich, wenn bestimmte Daten bearbeitet wurden. Im Rahmen der Kontrolle wurde unter anderem die Rechtmäßigkeit der Informationsverarbeitung ermittelt und dokumentiert. Dies erfolgt auch bei der Datenschutz-Folgenabschätzung nach der DS-GVO. |
Nutzen der Datenschutz-Folgenabschätzung
Durch die DSFA werden Unternehmen dazu angeregt, bestimmte Strategien für den Schutz der persönlichen Daten zu entwickeln, die das Risiko für Freiheiten der Betroffenen minimieren. Dadurch werden die Gefahren gesenkt, die sich durch die Verarbeitung von Daten ergeben. Gleichzeitig kann die Datenschutz-Folgenabschätzung als Nachweis darüber dienen, dass gesetzliche Vorgaben im datenschutzrechtlichen Bereich im Unternehmen eingehalten werden. Somit profitieren auch Sie als Firma von dem Vorgang und stellen sicher, dass die DS-GVO stets im Blick behalten wird.
Wann ist die Datenschutz Folgenabschätzung nötig?
Allgemein wird eine Datenschutz-Folgenabschätzung laut DS-GVO immer notwendig, sobald ein voraussichtlich hohes oder sehr hohes Risiko für Betroffene der erhobenen und verarbeiteten Daten besteht. Dieses Risiko betrifft die Freiheiten und Rechte der Personen, deren Daten genutzt werden.
Zwingend erforderliche Gründe für die DSFA
Gemäß Artikel 35 Abs. 3 DS-GVO ist eine DSFA zwingend nötig, wenn die Datenerhebung automatisiert erfolgt und dadurch persönliche Aspekte von natürlichen Personen bewertet werden (z. B. im Rahmen von Profiling). Auch die Verarbeitung personenbezogener Daten aus dem strafrechtlichen Bereich (z. B. bisherige Verurteilungen von natürlichen Personen) sowie die systematische Überwachung von Menschen in öffentlichen Bereichen erfordern jeweils eine Datenschutz-Folgenabschätzung.
Blacklist und Whitelist durch die Aufsichtsbehörde
Neben diesen Vorgaben gibt es Datenschutz-Folgenabschätzung-Checklisten – sogenannte „Blacklists“ durch die zuständigen Datenschutz-Aufsichtsbehörden. Diese listen Datenerhebungsvorgänge, die zwingend eine DSFA erfordern. Umgekehrt besteht auch eine „Whitelist“, die aufzeigt, welche Vorgänge nicht von einer Datenschutz-Folgenabschätzung nach der DS-GVO betroffen sind. Dies hilft Ihnen vorab bei einer Einschätzung.
Zuständigkeiten für die DSFA
Das Unternehmen legt meist ein Team fest, welches für die Datenschutz-Folgenabschätzung zuständig ist. Wird ein Datenschutzbeauftragter beschäftigt, muss dieser mindestens beratend zur Seite stehen und die DSFA sowie die Etablierung anschließender Sicherheitsmaßnahmen überwachen.
Das Schwierige an der Risikobewertung: Es gibt keine verbindlichen Prüfungsschemata oder gar ein fest definiertes Datenschutz-Folgenabschätzungs-Muster. Jedoch gibt es mit der ISO 29134, dem Standard-Datenschutzmodell der deutschen Aufsichtsbehörden, dem PIA-Tool (englisch: Privacy Impact Assessment) der französischen Aufsichtsbehörde CNIL und vereinzelten Beispielen und Planspielen der Datenschutz-Aufsichtsbehörden ein großes Sammelsurium an Orientierungshilfen.
Daher muss das Team mit dem DSB weitestgehend selbst entscheiden, nach welchen Kriterien die Risikobewertung von Datenschutzverarbeitungsvorgängen erfolgt. Gegebenenfalls müssen die von der Verarbeitung betroffenen Personen für eine Stellungnahme hinzugezogen werden.
Inhalte der DSFA
Sie können sich für die Inhalte der Datenschutz-Folgenabschätzung an der Checkliste orientieren:
- Beschreibung der Datenverarbeitung (Welche Daten werden erhoben?)
- Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung (Warum müssen die Daten überhaupt erhoben und verwendet werden?)
- Zweck der Verarbeitung (Wozu werden die Daten genutzt?)
- Voraussichtliche Risiken für die Rechte und Freiheiten der betroffenen Personen (Was kann schlimmstenfalls durch die Datennutzung passieren?)
- Abhilfemaßnahmen, die eine Bewältigung der Risiken sicherstellen (Welche technischen und organisatorischen Maßnahmen tragen dazu bei, dass z. B. Dritte keinen Zugriff auf die Informationen haben?)
- Dokumentation der Durchführung der DSFA, um Rechenschaftspflicht nachzukommen
Bleiben Sie in Sachen Datenschutz auf dem neusten Stand
Mit unserem kostenlosen Newsletter bleiben Sie immer auf dem aktuellsten Stand und erhalten mehr Informationen über aktuelle Entwicklungen im Datenschutz. Jetzt kostenlos anmelden.
Datenschutz-Folgenabschätzung: Vorlage für den Ablauf
- Vorbereitung: Zunächst sollten Sie für die Datenschutz-Folgenabschätzung ein Team zusammenstellen, die Zuständigkeiten klar verteilen und den DSB in den Prozess miteinbeziehen. Planen Sie, wann die jeweiligen Risikoprüfungen durchgeführt werden. Legen Sie außerdem fest, in welchem Format und Umfang die Beurteilung erfolgen wird.
- Risikoanalyse: Jeder geplanten Datenverarbeitung geht die Prüfung auf Verhältnismäßigkeit und Notwendigkeit bzw. die Bewertung der Risiken für Rechte und Freiheiten der Betroffenen voraus. Dazu gibt es unterschiedliche Herangehensweisen und Methodiken. Werden anhand der Bewertung hohe bis sehr hohe Risiken identifiziert, müssen mögliche Maßnahmen zur Risikominderung gefunden werden.
- Eigentliche Datenschutz-Folgenabschätzung: Nun wird der Datenschutz-Folgenabschätzungs-Bericht erstellt. Dieser listet die im vorherigen Kapitel erläuterten Inhalte.
- Abhilfemaßnahmen planen, umsetzen und überprüfen: Risikomindernde Maßnahmen werden nun entwickelt, etabliert und auf ihre Wirksamkeit geprüft.
- Gegebenenfalls ist bei einem hohen Risiko trotz getroffener Maßnahmen die zuständige Aufsichtsbehörde zu konsultieren.
- Dokumentation: Letztlich wird die Datenschutz-Folgenabschätzung dokumentiert. Ebenso verhält es sich mit der Wirksamkeit der Maßnahmen, die im Zuge der DSFA zur Risikominderung eingeführt wurden.
Fazit: Datenschutz-Folgenabschätzung als hilfreiches Werkzeug
Die DSFA ist ein hilfreiches Instrument zum Erkennen und Senkung von Risiken für die Rechte und Freiheiten von betroffenen Personen. Unternehmen können damit den Schutz der erhobenen und zu verarbeitenden Daten erhöhen und im besten Falle sicherstellen. Jedoch ist aufgrund eines Mangels an klaren Vorgaben der Datenschutz-Aufsichtsbehörden und der hohen Komplexität der Durchführung eine enge Zusammenarbeit mit Ihrem Datenschutzbeauftragten, zum Beispiel von DataGuard, zu empfehlen.
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: