Datenschutz-Folgenabschätzung

Die Datenschutz-Grundverordnung (DS-GVO) sagt in Artikel 35 Abs. 1 folgendes aus: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Kriterien für die Durchführung einer DSFA

z.B. Verarbeitung von biometrischen oder genetischen Daten

z.B. Verarbeitung von Daten, die dem Sozialgeheimnis unterliegen

z.B. Verarbeitung großer Mengen personenbezogener Daten, die eine große Zahl von Personen betreffen können und wahrscheinlich ein hohes Risiko mit sich bringen

z.B. umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen

z.B. Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerungder Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person

z.B. Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen

z.B. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Verarbeitung der so zusammengeführten Daten

z.B. automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen

z.B. umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen

Inhalt der DSFA

Die Datenschutz-Folgenabschätzung muss mindestens folgende Punkte enthalten:

Risikoanalyse

Um das Risiko abzuschätzen, welches ein Verarbeitungsverfahren für die Rechte und Freiheiten betroffener Personen mit sich bringen könnte, werden folgende Schritte empfohlen:

Um die Risiken eines Verarbeitungsverfahrens zu indexieren, sollte eine Risikomatrix erstellt werden. Aus den nachfolgenden Tabellen „Eintrittswahrscheinlichkeit“ und „Schwere/Schaden“ wird der jeweils ermittelte Grad in die Risikomatrix übertragen.

Risikomatrix_Datenschutz-Folgenabschätzung

Eintrittswahrscheinlichkeit

Grad
Bezeichnung des Grades
Eintrittswahrscheinlichkeit
Beschreibung
Beispiel
1
geringfügig
Schaden kann nach derzeitigem Erwartungshorizont nicht eintreten
Befall durch Schadsoftware bei einem Stand-Alone Rechner, der an keinem Netzwerk angeschlossen ist und an dem keine weiteren Medien angeschlossen werden können.
2
überschaubar
Schaden kann zwar eintreten, aus bislang gemachten Erfahrungen bzw. aufgrund der gegebenen Umstände scheint der Eintritt aber unwahrscheinlich zu sein.
Befall durch Schadsoftware bei einem Rechner, der aktuell gehalten, mit aktueller Antivirensoftware ausgestattet und nur mit einem BSI zertifizierten Firmennetzwerk verbunden ist.
3
substanziell
Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände zwar möglich, aber nicht sehr wahrscheinlich zu sein.
Befall durch Schadsoftware bei einem Rechner, der aktuell gehalten, mit aktueller Antivirensoftware ausgestattet und direkt mit dem Internet verbunden ist.
4
groß
Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände möglich und sehr wahrscheinlich zu sein.
Befall durch Schadsoftware bei einem veralteten Windows-XP Rechner ohne Antivirensoftware, der direkt mit dem Internet verbunden ist.

Schwere/Schaden

Grad
Bezeichnung des Grades
Schwere der Folgen / möglicher Schaden
Beschreibung
Beispiel
1
geringfügig
Betroffene erleiden eventuell Unannehmlichkeiten, die sie aber mit einigen Problemen überwinden können.
immateriell: leichte Verägerung
materiell: Zeitverlust
2
überschaubar
Betroffene erleiden eventuell signifikante Unannehmlichkeiten, die sie aber mit einigen Schwierigkeiten überwinden können
immateriell: geringe, aber objektiv nachweisbare psychische Beschwerden
materiell: deutlich spürbarer Verlust an privatem Komfort
physisch: minderschwere körperliche Schäden (z.B. leichte Krankheit)
3
substanziell
Betroffene erleiden eventuell signifikante Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwinden können.
immateriell: schwere psychische Beschwerden
materiell: finanzielle Schwierigkeiten
physisch: schwere körperliche Beschwerden
4
groß
Betroffene erleiden eventuell signifikante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können.
immateriell: dauerhafte, schwere psychische Beschwerden
materiell: erhebliche Schulden
physisch: dauerhafte, schwere körperliche Beschwerden

Unsere Unterstützung für die Überprüfung der Notwendigkeit und die Durchführung einer DSFA

Gemeinsam mit Ihnen überprüfen wir, ob ein oder mehrere Kriterien zutreffen, welche die Durchführung einer Datenschutz-Folgenabschätzung notwendig machen. Sollte sich die Notwendigkeit ergeben, dann stehen wir Ihnen dafür mit fachlichem Rat sowie den entsprechenden Tools und Hilfsmitteln gerne zur Verfügung.

Sie können sich eine Datenschutz-Folgenabschätzung (DSFA) als eine datenschutzrechtliche Risikoanalyse vorstellen. Bei dieser wird der jeweilige Verarbeitungsvorgang detailliert beschrieben, die damit einhergehenden Risiken abgewogen und die zur Risikobewältigung getroffenen Maßnahmen beschrieben.

Da eine DSFA sehr umfangreich ausfallen kann, führt man vorher eine Schwellwertanalyse durch, um zu ermitteln, ob eine DSFA erforderlich ist. Eine DSFA ist in der Regel dann erforderlich, wenn durch eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für betroffene Personen vorliegt. Bei derartigen Verarbeitungen kann es sich um ganze Geschäftsmodelle, einzelne Geschäftsprozesse oder um eingesetzte Software handeln, das Abstraktionsniveau ist in der DSGVO nicht definiert. Insbesondere bei der Verwendung neuer Technologien, aber auch bei sehr umfangreichen Datenverarbeitungen ist oftmals eine DSFA erforderlich. Ebenso kann die Verarbeitung bestimmter Datenarten, wie beispielsweise Gesundheitsdaten, die Durchführung einer DSFA erforderlich machen. Vor allem bei systematischer und umfangreicher Bewertung persönlicher Aspekte im Rahmen von Profiling und bei systematischer Überwachung öffentlich zugänglicher Bereiche, ist eine DSFA gem. Art. 35 Abs. 3 DSGVO durchzuführen. Ein klassisches Beispiel ist hierbei die Videoüberwachung. Von den Aufsichtsbehörden, für Sie in Berlin von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, wurden darüber hinaus Listen von Verarbeitungsvorgängen veröffentlich, bei denen eine DSFA zwingend durchzuführen ist.

Der Risikobegriff als solches ist nicht direkt in der DSGVO definiert. Ein Risko kann gem. den Erwägungsgründen der DSGVO als ein mögliches Ereignis, welches einer oder mehreren natürlichen Personen Schaden zufügt, beschrieben werden. Um die Risikobewertung innerhalb einer DSFA durchführen zu können, hat es sich in der Praxis etabliert, die Eintrittswahrscheinlichkeit eines Riskos mit der möglichen Schwere des Schadens ins Verhältnis zu setzen.

Sollten Sie bei der vorgelagerten Schwellwertanalyse zu dem Ergebnis kommen, dass eine DSFA erforderlich ist, so muss der Rat des Datenschutzbeauftragten eingeholt werden. Haben Sie als deutsches Unternehmen noch keinen Datenschutzbeauftragten, so ergibt sich aus §38 Abs. 1 BDSG, dass Sie spätestens dann einen Datenschutzbeauftragten benennen müssen, unabhängig von der Beschäftigtenanzahl.

 

Die DSFA muss mindestens folgende Punkte enthalten:

  • Detaillierte Beschreibung der Verarbeitungsvorgänge und Zwecke
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • die zur Risikobewältigung geplanten Maßnahmen
Kundenbewertung
[Gesamt: 64 Durchschnitt: 4.8]