Datenschutz-Folgenabschätzung

Wann muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden?

Die Datenschutz-Grundverordnung (DS-GVO) sagt in Artikel 35 Abs. 1 folgendes aus: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Kriterien für die Durchführung einer DSFA

Eine DSFA ist vor Beginn der geplanten Verarbeitungstätigkeit durchzuführen. Die Kriterien für die Notwendigkeit der Durchführung einer DSFA sind

  • Vertrauliche oder höchst persönliche Daten (z.B. Verarbeitung von biometrischen oder genetischen Daten)
  • Daten zu schutzbedürftigen Betroffenen (z.B. Verarbeitung von Daten, die dem Sozialgeheimnis unterliegen)
  • Datenverarbeitung in großem Umfang (z.B. Verarbeitung großer Mengen personenbezogener Daten, die eine große Zahl von Personen betreffen können und wahrscheinlich ein hohes Risiko mit sich bringen)
  • Systematische Überwachung (z.B. umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen)
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (z.B. Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person)
  • Bewerten oder Einstufen (Scoring) (z.B. Erstellung umfassender Profile über die Inte-ressen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen)
  • Abgleichen oder Zusammenführen von Datensätzen (z.B. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Verarbeitung der so zusammengeführten Daten)
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung (z.B. automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen)
  • Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert (z.B. umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen).

Inhalt der DSFA

Die DSFA muss mindestens folgende Punkte enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Risikoanalyse

Um das Risiko abzuschätzen, welches ein Verarbeitungsverfahren für die Rechte und Freiheiten betroffener Personen mit sich bringen könnte, werden folgende Schritte empfohlen:

  • Beschreibung des geplanten Verfahrens, der betroffenen Datenkategorien, der betroffenen Personengruppen, der Verantwortlichkeiten der Verarbeitung, die Rechtsgrundlage der Verarbeitung.
  • Erfassung und Bewertung der Risiken, Analyse und Bewertung der technischen und organisatorischen Maßnahmen, Bewertung der Maßnahmen hinsichtlich Verfügbarkeit, Belastbarkeit, Vertraulichkeit, Verschlüsselung und Integrität, Bestimmung geeigneter Maßnahmen.
  • Umsetzung oder Anpassung der identifizierten Maßnahmen (z.B. Zusammenstellung von technischen und organisatorischen Maßnahmen, die geeignet sind, die ermittelten Risiken auszuschließen oder zumindest bezüglich ihrer Eintrittswahrscheinlichkeit zu reduzieren).

Um die Risiken eines Verarbeitungsverfahrens zu indexieren, sollte eine Risikomatrix erstellt werden. Aus den nachfolgenden Tabellen „Eintrittswahrscheinlichkeit“ und „Schwere/Schaden“ wird der jeweils ermittelte Grad in die Risikomatrix übertragen.

Datenschutz-Folgenabschätzung

Eintrittswahrscheinlichkeit

Datenschutz-Folgenabschätzung

Schwere/Schaden

Datenschutz-Folgenabschätzung

Unsere Unterstützung für die Überprüfung der Notwendigkeit und die Durchführung einer DSFA

Gemeinsam mit Ihnen überprüfen wir, ob ein oder mehrere Kriterien zutreffen, die die Durchführung einer DSFA notwendig machen. Sollte sich die Notwendigkeit ergeben, dann stehen wir Ihnen dafür mit fachlichem Rat sowie den entsprechenden Tools und Hilfsmitteln gerne zur Verfügung.