Warum die Datenschutz-Folgenabschätzung viele Entscheider nervös macht
Bestimmte Formen der Verarbeitung personenbezogener Daten setzen eine vorherige Datenschutz-Folgenabschätzung (DSFA) voraus. Diese ist jedoch komplex, unter anderem wegen ihrer zweistufigen Umsetzung. In zahlreichen Unternehmen mangelt es an Erfahrung, was verschiedene Risiken zur Folge haben kann.
Aus der Praxis bekannte Risiken:
- Unvollständige Erfassung aller relevanten Systeme/Prozesse
- Unvollständige Erfüllung der datenschutzrechtlichen Anforderungen
- Fehlerhafte Bewertung von Risiken
Korrekt umgesetzt, trägt die DSFA nicht nur zum Datenschutz bei. Im Zusammenhang mit der Einführung neuer Systeme oder Relaunches kann das hohe Datenschutzniveau auch Marketingzwecken dienen.
Auf dieser Seite erläutern wir, was es mit der Datenschutz-Folgenabschätzung auf sich hat und worauf in der Praxis zu achten ist. Auf Wunsch können wir Sie bei der Umsetzung kompetent unterstützen.
Definition: Was ist unter einer Datenschutz-Folgenabschätzung zu verstehen?
Die Datenschutz-Folgenabschätzung ist eine strukturierte Risikoanalyse. Sie dient der Vorabbewertung möglicher Folgen von Datenverarbeitungsvorgängen, um die Wahrung der persönlichen Rechte und Freiheiten der Betroffenen sicherzustellen. Sie ist vom Verantwortlichen im Sinne des Datenschutzrechts durchzuführen.
Wann besteht die Pflicht zur Durchführung einer DSFA?
„(…) Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“
hat. Kurzum bei:
- Verfahren mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen
- Dem Einsatz neuer Technologien, die voraussichtlich ein hohes Risiko für den Betroffenen zur Folge haben
Die DSFA ist kein Instrument zur nachträglichen Bewertung von Risiken. Sie ist vor Beginn der geplanten Verarbeitungstätigkeit durchzuführen.
Was ist bei Durchführung der Risikoanalyse zu berücksichtigen?
- Vorbereitungsphase
Beschreibung des geplanten Verfahrens, betroffenen Datenkategorien, betroffene Personengruppen, Verantwortlichkeiten für die Verarbeitung (intern/extern), Rechtsgrundlage der Verarbeitung (innerhalb der DSGVO und anderer Gesetze). - Durchführungsphase
Erfassung und Bewertung der Risiken, Analyse und Bewertung der bestehenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO, Bewertung der Maßnahmen zur Sicherung der Schutzziele Verfügbarkeit, Belastbarkeit, Vertraulichkeit, Verschlüsselung und Integrität, Bestimmung geeigneter Maßnahmen (z.B. zusätzliche Maßnahmen hinsichtlich der Zugriffsberechtigungen, Verschlüsselung). - Umsetzungsphase
Umsetzung oder Anpassung der identifizierten Maßnahmen.
Die Parameter eines Verfahrens können sich mit der Zeit verändern, z.B. durch Anpassungen bei Geschäftsprozessen oder technologischen Neuerungen. Deshalb empfiehlt sich eine Betrachtung im Regelkreislauf. Es sollte eine regelmäßige, z.B. jährliche, Überprüfung der DSFA erfolgen. Wichtig ist hierbei auch, die Übersicht der internen Verarbeitungstätigkeiten heranzuziehen und ebenfalls zu prüfen und ggf. anzupassen.
Sollte ein Datenschutzbeauftragter benannt worden sein, ist gemäß Art. 35 Abs. 2 DSGVO dessen Rat einzuholen.
Datenschutz-Folgenabschätzung im Detail
Verzeichnis von Verarbeitungstätigkeiten
Das betroffene Verfahren muss beschrieben sein, d.h. in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Sollte es darin bereits aufgeführt sein, ist Vorsicht geboten. Es ist zu prüfen, ob die Beschreibung im Hinblick auf die DSFA genügt oder ob sie der Ergänzung weiterer Daten bedarf.
Risiko
Ob letztlich eine Datenschutz-Folgenabschätzung vorzunehmen ist, hängt vom Risiko ab. Das Risiko lässt sich per Formel definieren.
Risiko = Schaden x Eintrittswahrscheinlichkeit
Schaden: Ein Nachteil, ein Verlust oder eine Beeinträchtigung. Welche konkreten Schäden denkbar sind, hängt vom jeweiligen Sachverhalt ab. Es kann eine Hilfe sein, sich an Schadenskategorien (z.B. Diskriminierung, finanzieller Schaden, Lebensgefahr…) zu orientieren.
Eintrittswahrscheinlichkeit: Drückt aus, mit welcher Wahrscheinlichkeit ein Schadensereignis eintritt. Hier lassen sich Klassen heranziehen, wie gering, mittel, hoch und sehr hoch.
Die Entscheidung steht und fällt mit der Schwellwertanalyse. Sollte das Risiko als hoch beurteilt werden, ist die DSFA durchzuführen. Durch die DSFA und darin definierten Maßnahmen wird das Risiko „hoch“ idealerweise gesenkt und gesetzeskonformes Verarbeiten von Daten ermöglicht.
Wie unsere Datenschutzexperten helfen können
Bei der Datenschutz-Folgenabschätzung unterstützen wir unsere Mandanten ganz nach Bedarf. Typischerweise geschieht dies im Rahmen unseres zweistufigen Ansatzes, der bei allen Datenschutz-Folgenabschätzungen gleich konzipiert ist. Hierbei erfassen und berücksichtigen wir sämtliche Prozesse.
Stufe 1: Das Verarbeitungsverzeichnis
Stufe 2: Erstellung der DSFA (Bewertung aller technischen Komponenten, Datenschutz, aber auch IT Sicherheit, Prüfkataloge für Onlineportale, Apps, Programmierung, etc.)
Mit unseren Leistungen unterstützen wir Unternehmen dabei, Risiken im Datenschutz frühzeitig zu erkennen und geeignete Lösungen zu entwickeln. Unsere Ansätze sind praxisnah gestaltet, um sichere und wirtschaftliche Ergebnisse zu liefern. Für weitere Auskünfte stehen wir Ihnen gerne zur Verfügung. Nutzen Sie unsere kostenlose Erstberatung, wir freuen uns auf Ihre Anfrage.