Bestimmte Formen der Verarbeitung personenbezogener Daten setzen eine vorherige Datenschutz-Folgenabschätzung (DSFA) voraus. Deren Durchführung gilt jedoch als anspruchsvoll, in der Praxis werden immer wieder Fehler gemacht. Abhilfe verspricht ein strukturierter Prozess, der sicher ans Ziel führt.

Warum die Datenschutz-Folgenabschätzung viele Entscheider nervös macht

Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) ist komplex, unter anderem wegen ihrer mehrstufigen Umsetzung. In zahlreichen Unternehmen mangelt es an Erfahrung, was verschiedene Risiken zur Folge haben kann.

Aus der Praxis bekannte Risiken:

  • Unvollständige Erfassung aller relevanten Systeme/Prozesse
  • Unvollständige Erfüllung der datenschutzrechtlichen Anforderungen
  • Fehlerhafte Bewertung von Risiken

Definition: Was ist unter einer Datenschutz-Folgenabschätzung zu verstehen?

Vor dem Inkrafttreten der DSGVO existierte im deutschen Datenschutz ein Instrument, welches der Datenschutz-Folgenabschätzung ähnelt, nämlich die im BDSG verankerte Vorabkontrolle. Deren Aufgabe war es, die Folgen und Risiken einer Datenverarbeitung zu bewerten.

Die Datenschutz-Folgenabschätzung ist eine strukturierte Risikoanalyse. Sie dient der Vorabbewertung möglicher Folgen von Datenverarbeitungsvorgängen, um die Wahrung der persönlichen Rechte und Freiheiten der Betroffenen sicherzustellen. Sie ist vom Verantwortlichen im Sinne des Datenschutzrechts durchzuführen.

Korrekt umgesetzt, trägt die DSFA nicht nur zum Datenschutz bei. Im Zusammenhang mit der Einführung neuer Systeme oder Relaunches kann das hohe Datenschutzniveau auch Marketingzwecken dienen.

Wann besteht die Pflicht zur Durchführung einer DSFA?

Gemäß Art. 35 Abs. 1 DSGVO besteht die Pflicht zur Durchführung einer DSFA, wenn die geplante

„(...) Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“

hat. Kurzum bei:

  • Verfahren mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen
  • Dem Einsatz neuer Technologien, die voraussichtlich ein hohes Risiko für den Betroffenen zur Folge haben

Die DSFA ist kein Instrument zur nachträglichen Bewertung von Risiken. Sie ist vor Beginn der geplanten Verarbeitungstätigkeit durchzuführen.

Was ist bei Durchführung der Risikoanalyse zu berücksichtigen?

Einen detaillierten Fahrplan oder ein Muster gibt die DSGVO im Gesetzestext nicht vor. Allerdings ergeben sich im Rahmen der notwendig zu prüfenden Umstände folgende Schwerpunkte in der Betrachtung:

  1. Vorbereitungsphase
    Beschreibung geplanter Verfahren, betroffene Datenkategorien, betroffene Personengruppen, Verantwortlichkeiten für die Verarbeitung (intern/extern), Rechtsgrundlage der Verarbeitung (innerhalb der DSGVO und anderer Gesetze).
  2. Durchführungsphase
    Erfassung und Bewertung der Risiken. Analyse und Bewertung der bestehenden technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Bewertung der Maßnahmen zur Sicherung der Schutzziele: Verfügbarkeit, Belastbarkeit, Vertraulichkeit, Verschlüsselung und Integrität. Bestimmung geeigneter Maßnahmen (z.B. zusätzliche Maßnahmen hinsichtlich der Zugriffsberechtigungen, Verschlüsselung).
  3. Umsetzungsphase
    Umsetzung oder Anpassung der identifizierten Maßnahmen.

Die Parameter eines Verfahrens können sich mit der Zeit verändern, z.B. durch Anpassungen bei Geschäftsprozessen oder technologischen Neuerungen. Deshalb empfiehlt sich eine Betrachtung im Regelkreislauf. Es sollte eine regelmäßige, z.B. jährliche, Überprüfung der DSFA erfolgen. Wichtig hierbei ist außerdem, die Übersicht der internen Verarbeitungstätigkeiten heranzuziehen und diese ebenfalls zu prüfen und ggf. anzupassen.

Sollte ein Datenschutzbeauftragter benannt worden sein, ist gemäß Art. 35 Abs. 2 DSGVO dessen Rat einzuholen.

Datenschutz-Folgenabschätzung im Detail

Verzeichnis von Verarbeitungstätigkeiten

Das betroffene Verfahren muss beschrieben sein, d.h. in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Sollte es darin bereits aufgeführt sein, ist Vorsicht geboten. Es ist zu prüfen, ob die Beschreibung im Hinblick auf die DSFA genügt oder ob sie der Ergänzung weiterer Daten bedarf.

Risiko

Ob letztlich eine Datenschutz-Folgenabschätzung vorzunehmen ist, hängt vom Risiko ab. Das Risiko lässt sich per Formel definieren.

Risiko = Schaden x Eintrittswahrscheinlichkeit

Schaden: Ein Nachteil, ein Verlust oder eine Beeinträchtigung. Welche konkreten Schäden denkbar sind, hängt vom jeweiligen Sachverhalt ab. Es kann eine Hilfe sein, sich an Schadenskategorien (z.B. Diskriminierung, finanzieller Schaden, Lebensgefahr...) zu orientieren.

Eintrittswahrscheinlichkeit: Drückt aus, mit welcher Wahrscheinlichkeit ein Schadensereignis eintritt. Hier lassen sich Klassen heranziehen, wie gering, mittel, hoch und sehr hoch.

Die Entscheidung steht und fällt mit der Schwellwertanalyse. Sollte das Risiko als hoch beurteilt werden, ist die DSFA durchzuführen. Durch die DSFA und darin definierten Maßnahmen wird das Risiko „hoch“ idealerweise gesenkt und gesetzeskonformes Verarbeiten von Daten ermöglicht.

Wie unsere Datenschutzexperten helfen

Bei der Datenschutz-Folgenabschätzung unterstützen wir unsere Mandanten zielgerichtet unter Berücksichtigung des jeweiligen Bedarfs. Typischerweise geschieht dies im Rahmen unseres zweistufigen Ansatzes, der bei allen Datenschutz-Folgenabschätzungen gleich konzipiert ist. Hierbei erfassen und berücksichtigen wir sämtliche Prozesse.

Stufe 1: Das Verarbeitungsverzeichnis
Stufe 2: Erstellung und Durchführung der DSFA (Bewertung aller technischen Komponenten, Datenschutz, aber auch IT Sicherheit, Prüfkataloge für Online-Portale, Apps, Programmierung, etc.)

Mit unseren Leistungen unterstützen wir Unternehmen dabei, Risiken im Datenschutz frühzeitig zu erkennen und geeignete Lösungen zu entwickeln. Unsere Ansätze sind praxisnah gestaltet, um sichere und wirtschaftliche Ergebnisse zu liefern. Für weitere Auskünfte stehen wir Ihnen gerne zur Verfügung. Nutzen Sie unsere kostenlose Erstberatung - wir freuen uns auf Ihre Anfrage.