Warum die Datenschutz-Folgenabschätzung viele Entscheider nervös macht

Bestimmte Formen der Verarbeitung personenbezogener Daten setzen eine vorherige Datenschutz-Folgenabschätzung (DSFA) voraus. Diese ist jedoch komplex, unter anderem wegen ihrer zweistufigen Umsetzung. In zahlreichen Unternehmen mangelt es an Erfahrung, was verschiedene Risiken zur Folge haben kann.

Aus der Praxis bekannte Risiken:

  • Unvollständige Erfassung aller relevanten Systeme/Prozesse
  • Unvollständige Erfüllung der datenschutzrechtlichen Anforderungen
  • Fehlerhafte Bewertung von Risiken

Korrekt umgesetzt, trägt die DSFA nicht nur zum Datenschutz bei. Im Zusammenhang mit der Einführung neuer Systeme oder Relaunches kann das hohe Datenschutzniveau auch Marketingzwecken dienen.

Auf dieser Seite erläutern wir ausführlich, was es mit der Datenschutz-Folgenabschätzung auf sich hat und worauf in der Praxis zu achten ist. Auf Wunsch können wir Sie bei der Umsetzung kompetent unterstützen.

Definition: Was ist unter einer Datenschutz-Folgenabschätzung zu verstehen?

Vor dem Inkrafttreten der DSGVO existierte im deutschen Datenschutz ein Instrument, welches der Datenschutz-Folgenabschätzung ähnelt, nämlich die im BDSG verankerte Vorabkontrolle. Deren Aufgabe war es, die Folgen und Risiken einer Datenverarbeitung zu bewerten.

Die Datenschutz-Folgenabschätzung ist eine strukturierte Risikoanalyse. Sie dient der Vorabbewertung möglicher Folgen von Datenverarbeitungsvorgängen, um die Wahrung der persönlichen Rechte und Freiheiten der Betroffenen sicherzustellen. Sie ist vom Verantwortlichen im Sinne des Datenschutzrechts durchzuführen.

Wann besteht die Pflicht zur Durchführung einer DSFA?

Gemäß Art. 35 Abs. 1 DSGVO besteht die Pflicht zur Durchführung einer DSFA, wenn die geplante

„(…) Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“

hat. Kurzum bei:

  • Verfahren mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen
  • Dem Einsatz neuer Technologien, die voraussichtlich ein hohes Risiko für den Betroffenen zur Folge haben

Die DSFA ist kein Instrument zur nachträglichen Bewertung von Risiken. Sie ist vor Beginn der geplanten Verarbeitungstätigkeit durchzuführen.

Was ist bei der Durchführung zu berücksichtigen?

Einen detaillierten Fahrplan oder ein Muster gibt die DSGVO nicht vor. Ein grobes Rahmenwerk kann wie folgt aussehen:

  1. Vorbereitungsphase
    Beschreibung des Verfahrens, Zuteilung von Verantwortlichkeiten
  2. Durchführungsphase
    Erfassung und Bewertung der Risiken, Bestimmung geeigneter Maßnahmen (z.B. Risikominimierung durch Sandboxing, Aliase)
  3. Umsetzungsphase
    Umsetzung der Maßnahmen

Die Parameter eines Verfahrens können sich mit der Zeit verändern, z.B. durch Anpassungen bei Geschäftsprozessen oder technologischen Neuerungen. Deshalb empfiehlt sich eine Betrachtung im Regelkreislauf. Es sollte eine regelmäßige, z.B. jährliche, Überprüfung der DSFA erfolgen.

Sollte ein Datenschutzbeauftragter benannt worden sein, ist gemäß Art. 35 Abs. 2 DSGVO dessen Rat einzuholen.

Datenschutz-Folgenabschätzung im Detail

Verzeichnis von Verarbeitungstätigkeiten

Das betroffene Verfahren muss beschrieben sein, d.h. in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Sollte es darin bereits aufgeführt sein, ist Vorsicht geboten. Es ist zu prüfen, ob die Beschreibung im Hinblick auf die DSFA genügt oder ob sie der Ergänzung weiterer Daten bedarf.

Risiko

Ob letztlich eine Datenschutz-Folgenabschätzung vorzunehmen ist, hängt vom Risiko ab. Das Risiko lässt sich per Formel definieren.

Risiko = Schaden x Eintrittswahrscheinlichkeit

Schaden: Ein Nachteil, ein Verlust oder eine Beeinträchtigung. Welche konkreten Schäden denkbar sind, hängt vom jeweiligen Sachverhalt ab. Es kann eine Hilfe sein, sich an Schadenskategorien (z.B. Diskriminierung, finanzieller Schaden, Lebensgefahr…) zu orientieren.

Eintrittswahrscheinlichkeit: Drückt aus, mit welcher Wahrscheinlichkeit ein Schadensereignis eintritt. Hier lassen sich Klassen heranziehen, wie gering, mittel, hoch und sehr hoch.

Die Entscheidung steht und fällt mit der Schwellwertanalyse. Sollte das Risiko als hoch beurteilt werden, ist die DSFA durchzuführen. Durch die DSFA und darin definierten Maßnahmen wird das Risiko „hoch“ idealerweise gesenkt und gesetzeskonformes Verarbeiten von Daten ermöglicht.

Wie unsere Datenschutzexperten helfen können

Bei der Datenschutz-Folgenabschätzung unterstützen wir unsere Mandanten ganz nach Bedarf. Typischerweise geschieht dies im Rahmen unseres zweistufigen Ansatzes, der bei allen Datenschutz-Folgenabschätzungen gleich konzipiert ist. Hierbei erfassen und berücksichtigen wir sämtliche Prozesse.

Stufe 1: Das Verarbeitungsverzeichnis
Stufe 2: Erstellung der DSFA (Bewertung aller technischen Komponenten, Datenschutz, aber auch IT Sicherheit, Prüfkataloge für Onlineportale, Apps, Programmierung, etc.)

Mit unseren Leistungen unterstützen wir Unternehmen dabei, Risiken im Datenschutz frühzeitig zu erkennen und geeignete Lösungen zu entwickeln. Unsere Ansätze sind stets praxisnah gestaltet, um sichere und zugleich wirtschaftliche Ergebnisse zu liefern. Für weitere Auskünfte stehen wir Ihnen gerne zur Verfügung. Nutzen Sie unsere kostenlose Erstberatung, wir freuen uns auf Ihre Anfrage.