Datenschutz-Folgenabschätzung
Die Datenschutz-Grundverordnung (DS-GVO) sagt in Artikel 35 Abs. 1 folgendes aus: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Kriterien für die Durchführung einer DSFA
Vertrauliche oder höchst persönliche Daten
z.B. Verarbeitung von biometrischen oder genetischen Daten
Daten zu schutzbedürftigen Betroffenen
z.B. Verarbeitung von Daten, die dem Sozialgeheimnis unterliegen
Datenverarbeitung in großem Umfang
z.B. Verarbeitung großer Mengen personenbezogener Daten, die eine große Zahl von Personen betreffen können und wahrscheinlich ein hohes Risiko mit sich bringen
Systematische Überwachung
z.B. umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen
Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
z.B. Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerungder Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der betroffenen Person
Bewerten oder Einstufen (Scoring)
z.B. Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen
Abgleichen oder Zusammenführen von Datensätzen
z.B. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Verarbeitung der so zusammengeführten Daten
Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
z.B. automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen
Betroffene werden an der Ausübung eines Rechts oder Durchführung eines Vertrags gehindert
z.B. umfangreiche Erhebung und Veröffentlichung oder Übermittlung von personenbezogenen Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen
Inhalt der DSFA
Die Datenschutz-Folgenabschätzung muss mindestens folgende Punkte enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1
- Datenträgerentsorgung durch Dienstleister
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren
Risikoanalyse
Um das Risiko abzuschätzen, welches ein Verarbeitungsverfahren für die Rechte und Freiheiten betroffener Personen mit sich bringen könnte, werden folgende Schritte empfohlen:
- Beschreibung des geplanten Verfahrens, der betroffenen Datenkategorien, der betroffenen Personengruppen, der Verantwortlichkeiten der Verarbeitung, die Rechtsgrundlage der Verarbeitung
- Erfassung und Bewertung der Risiken, Analyse und Bewertung der technischen und organisatorischen Maßnahmen
- Umsetzung oder Anpassung der identifizierten Maßnahmen
Um die Risiken eines Verarbeitungsverfahrens zu indexieren, sollte eine Risikomatrix erstellt werden. Aus den nachfolgenden Tabellen „Eintrittswahrscheinlichkeit“ und „Schwere/Schaden“ wird der jeweils ermittelte Grad in die Risikomatrix übertragen.
Eintrittswahrscheinlichkeit
Grad | Bezeichnung des Grades | Eintrittswahrscheinlichkeit | |
---|---|---|---|
Beschreibung | Beispiel | ||
1 | geringfügig | Schaden kann nach derzeitigem Erwartungshorizont nicht eintreten | Befall durch Schadsoftware bei einem Stand-Alone Rechner, der an keinem Netzwerk angeschlossen ist und an dem keine weiteren Medien angeschlossen werden können. |
2 | überschaubar | Schaden kann zwar eintreten, aus bislang gemachten Erfahrungen bzw. aufgrund der gegebenen Umstände scheint der Eintritt aber unwahrscheinlich zu sein. | Befall durch Schadsoftware bei einem Rechner, der aktuell gehalten, mit aktueller Antivirensoftware ausgestattet und nur mit einem BSI zertifizierten Firmennetzwerk verbunden ist. |
3 | substanziell | Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände zwar möglich, aber nicht sehr wahrscheinlich zu sein. | Befall durch Schadsoftware bei einem Rechner, der aktuell gehalten, mit aktueller Antivirensoftware ausgestattet und direkt mit dem Internet verbunden ist. |
4 | groß | Schadenseintritt scheint auf Basis bislang gemachter Erfahrungen bzw. aufgrund der gegebenen Umstände möglich und sehr wahrscheinlich zu sein. | Befall durch Schadsoftware bei einem veralteten Windows-XP Rechner ohne Antivirensoftware, der direkt mit dem Internet verbunden ist. |
Schwere/Schaden
Grad | Bezeichnung des Grades | Schwere der Folgen / möglicher Schaden | |
---|---|---|---|
Beschreibung | Beispiel | ||
1 | geringfügig | Betroffene erleiden eventuell Unannehmlichkeiten, die sie aber mit einigen Problemen überwinden können. | immateriell: leichte Verägerung materiell: Zeitverlust |
2 | überschaubar | Betroffene erleiden eventuell signifikante Unannehmlichkeiten, die sie aber mit einigen Schwierigkeiten überwinden können | immateriell: geringe, aber objektiv nachweisbare psychische Beschwerden materiell: deutlich spürbarer Verlust an privatem Komfort physisch: minderschwere körperliche Schäden (z.B. leichte Krankheit) |
3 | substanziell | Betroffene erleiden eventuell signifikante Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwinden können. | immateriell: schwere psychische Beschwerden materiell: finanzielle Schwierigkeiten physisch: schwere körperliche Beschwerden |
4 | groß | Betroffene erleiden eventuell signifikante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können. | immateriell: dauerhafte, schwere psychische Beschwerden materiell: erhebliche Schulden physisch: dauerhafte, schwere körperliche Beschwerden |
Unsere Unterstützung für die Überprüfung der Notwendigkeit und die Durchführung einer DSFA
Gemeinsam mit Ihnen überprüfen wir, ob ein oder mehrere Kriterien zutreffen, welche die Durchführung einer Datenschutz-Folgenabschätzung notwendig machen. Sollte sich die Notwendigkeit ergeben, dann stehen wir Ihnen dafür mit fachlichem Rat sowie den entsprechenden Tools und Hilfsmitteln gerne zur Verfügung.
Was ist eine Datenschutz-Folgenabschätzung?
Sie können sich eine Datenschutz-Folgenabschätzung (DSFA) als eine datenschutzrechtliche Risikoanalyse vorstellen. Bei dieser wird der jeweilige Verarbeitungsvorgang detailliert beschrieben, die damit einhergehenden Risiken abgewogen und die zur Risikobewältigung getroffenen Maßnahmen beschrieben.
Wann ist die Durchführung einer DSFA erforderlich?
Da eine DSFA sehr umfangreich ausfallen kann, führt man vorher eine Schwellwertanalyse durch, um zu ermitteln, ob eine DSFA erforderlich ist. Eine DSFA ist in der Regel dann erforderlich, wenn durch eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für betroffene Personen vorliegt. Bei derartigen Verarbeitungen kann es sich um ganze Geschäftsmodelle, einzelne Geschäftsprozesse oder um eingesetzte Software handeln, das Abstraktionsniveau ist in der DSGVO nicht definiert. Insbesondere bei der Verwendung neuer Technologien, aber auch bei sehr umfangreichen Datenverarbeitungen ist oftmals eine DSFA erforderlich. Ebenso kann die Verarbeitung bestimmter Datenarten, wie beispielsweise Gesundheitsdaten, die Durchführung einer DSFA erforderlich machen. Vor allem bei systematischer und umfangreicher Bewertung persönlicher Aspekte im Rahmen von Profiling und bei systematischer Überwachung öffentlich zugänglicher Bereiche, ist eine DSFA gem. Art. 35 Abs. 3 DSGVO durchzuführen. Ein klassisches Beispiel ist hierbei die Videoüberwachung. Von den Aufsichtsbehörden, für Sie in Berlin von der Berliner Beauftragten für Datenschutz und Informationsfreiheit, wurden darüber hinaus Listen von Verarbeitungsvorgängen veröffentlich, bei denen eine DSFA zwingend durchzuführen ist.
Wie wird das Risiko in einer DSFA definiert?
Der Risikobegriff als solches ist nicht direkt in der DSGVO definiert. Ein Risko kann gem. den Erwägungsgründen der DSGVO als ein mögliches Ereignis, welches einer oder mehreren natürlichen Personen Schaden zufügt, beschrieben werden. Um die Risikobewertung innerhalb einer DSFA durchführen zu können, hat es sich in der Praxis etabliert, die Eintrittswahrscheinlichkeit eines Riskos mit der möglichen Schwere des Schadens ins Verhältnis zu setzen.
Was muss bei der Durchführung einer DSFA berücksichtigt werden?
Sollten Sie bei der vorgelagerten Schwellwertanalyse zu dem Ergebnis kommen, dass eine DSFA erforderlich ist, so muss der Rat des Datenschutzbeauftragten eingeholt werden. Haben Sie als deutsches Unternehmen noch keinen Datenschutzbeauftragten, so ergibt sich aus §38 Abs. 1 BDSG, dass Sie spätestens dann einen Datenschutzbeauftragten benennen müssen, unabhängig von der Beschäftigtenanzahl.
Die DSFA muss mindestens folgende Punkte enthalten:
- Detaillierte Beschreibung der Verarbeitungsvorgänge und Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- die zur Risikobewältigung geplanten Maßnahmen