Datenschutz-Folgenabschätzung

Kennen Sie Ihr Risiko?


3. Januar 2018, von in IT-Sicherheit

Jede Firma verarbeitet personenbezogene Daten – von Kunden, Lieferanten, Mitarbeitern. Das hat ab Mai 2018 datenschutzrechtlich schärfere Konsequenzen als bisher. Dann wird die deutsche Vorabkontrolle zur europaweiten Datenschutz-Folgenabschätzung. Was sich damit ändert und was Sie jetzt zu tun haben? Das erfahren Sie hier.

datenschutz-folgenabschätzung, dsgvo, folgenabschätzung, dsfa

Sie verarbeiten biometrische Daten? Dann müssen Sie laut DSGVO eine Datenschutz-Folgenabschätzung vornehmen. Foto: pixabay, geralt/Gerd Altmann

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung, kurz DSFA, ist eine Methode, die für jede Form der Datenverarbeitung durchzuführen ist, die ein hohes Risiko für die Rechte und Freiheiten jeder von der Verarbeitung betroffenen Person darstellt. Damit ist doch alles klar, oder? Genau wegen dieser griffigen, aber nichtssagenden Definition beleuchtet dieser Artikel die Folgenabschätzung, wie sie verkürzt auch genannt wird.

Genaugenommen handelt es sich bei der Datenschutz-Folgenabschätzung um den Artikel 35 DSGVO, der Sie als Verantwortlichen zu einer Datenschutz-Folgenabschätzung (DSFA) zwingt, wenn ein „voraussichtlich hohes Risiko“ mit der Verarbeitung von Daten verbunden ist.

Nach Erwägungsgrund 75 (ErwGr. 75) riskiert eine Datenverarbeitung die so genannten Rechte und Freiheiten betroffener Personen, wenn sie zu physischen, materiellen und immateriellen Schäden führen kann. Darunter fallen zum Beispiel:

  • Diskriminierung
  • Identitätsdiebstahl
  • Finanzieller Verlust
  • Rufschädigung
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten

Wenn Sie sich informieren möchten, wann bzw. ob Sie überhaupt dazu verpflichtet sind, eine Datenschutz-Folgenabschätzung vorzunehmen, lesen Sie den ergänzenden Blogartikel DSFA – wann sind Firmen dazu verpflichtet?

Warum Datenschutz-Folgenabschätzung?

Grundsätzlich muss eine Datenschutz-Folgenabschätzung nur für die Verarbeitungsvorgänge vorgenommen werden, die nach Inkrafttreten der DSGVO am 25. Mai 2018 begonnen werden. Schließlich ist in der DSGVO nur die Rede von „vorgesehenen Verarbeitungsvorgängen“ (vgl. Artikel 35, Abs. 1 DSGVO) und „geplanten Verarbeitungsvorgängen“ (vgl. Artikel 35, Abs. 7a).

Juristen raten allerdings dringend dazu, auch für jede Ihrer bereits bestehenden Datenverarbeitungen die Notwendigkeit einer Datenschutz-Folgenabschätzung zu prüfen, das Ergebnis der Prüfung zu dokumentieren und eine erforderliche Folgenabschätzung vorzunehmen. Hier zwei schlagende Argumente dafür:

  1. Unsichere Rechtslage: Das maßgebliche Kriterium „hohes Risiko für die Rechte und Freiheiten der Betroffenen“ ist schwammig formuliert und wird in der DSGVO nicht näher definiert. Die Notwendigkeit einer Datenschutz-Folgenabschätzung  wird damit zur reinen Auslegungssache, um die sich künftig wohl Gerichte kümmern. Also gehen Sie lieber auf Nummer sicher und nehmen Sie zumindest eine Risikobewertung Ihrer bestehenden Daten(verarbeitungsprozesse) vor.
  2. 10 Millionen Euro – haben oder nicht: Stellt sich heraus, dass Sie trotz der Pflicht zu einer Datenschutz-Folgenabschätzung darauf verzichten oder sie nicht korrekt durchführen, kann’s richtig teuer werden. Denn damit riskieren Sie ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes Ihres Unternehmens. (Art 83 Abs. 4a DSGVO)

Datenschutz-Folgenabschätzung: Das muss drin stehen

Eine Datenschutz-Folgenabschätzung können Sie nicht mal eben aus der Hüfte schießen. Denn sie ist eine systematische Beschreibung Ihrer Verarbeitungsvorgänge und muss die Zwecke der Verarbeitung enthalten. Dazu müssen Sie (technische) Prozesse, IT-Systeme und Produkte sowie Datenflüsse und Systemgrenzen im Detail bewerten.

In einer Datenschutz-Folgenabschätzung müssen Sie als Verantwortlicher Ihre Interessen an der Datenverarbeitung beschreiben sowie deren Verhältnismäßigkeit und Notwendigkeit festlegen, zum Beispiel für intelligente Videoüberwachung oder Erkenntnisse durch Datenanalysen. So beschreibt es das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) in einem Dokument (PDF).

Das Ganze ist laut DSGVO übrigens nur der Mindeststandard, was eine Datenschutz-Folgenabschätzung enthalten muss (vgl. Art. 35 Abs. 7 DSGVO). Die Arbeiten zu dieser Pflichterfüllung dürfen Sie allerdings delegieren – zum Beispiel an Ihren Datenschutzbeauftragten. Müssen Sie eine Folgenabschätzung vornehmen, ist dafür der Rat Ihres Datenschutzbeauftragten sogar zwingend einzuholen, sofern Sie einen benannt haben (vgl. Art. 35, Abs. 2 DSGVO). Viele IT-Dienstleister sind daher auch als (zertifizierte) externe Datenschutzbeauftragte tätig.

Eine einzige Datenschutz-Folgenabschätzung für gleiche Prozesse

Sie müssen mehrere Folgenabschätzungen durchführen? Dann erlauben Artikel 35, Abs. 1 und Erwägungsgrund 92 DSGVO, dass Sie für eine Reihe mehrerer gleichgelagerter Datenverarbeitungsprozessen mit ähnlich hohem Risiko eine einzige Folgenabschätzung vornehmen dürfen. Unter folgender Bedingung: Sie verarbeiten dieselbe Art von Daten zum selben Zweck mit ähnlicher Technologie. Das kann beispielsweise der Fall sein, wenn Sie ein vergleichbares Videoüberwachungssystem in mehreren Filialen Ihres Unternehmens einsetzen.

datenschutz-folgenabschätzung, dsfa, dsgvo

Diese 10 Kriterien machen eine Datenschutz-Folgenabschätzung wahrscheinlich. Foto: pixabay, 3dman_eu / Peggy und Marco –Lachmann-Anke. Montage: Linda Bögelein

Blacklist und Whitelist – DSFA notwendig oder nicht?

Der King of Pop, Michael Jackson, hat’s voller Inbrunst gesungen: „It don’t matter, if you’re black or white…“ (Es spielt keine Rolle, ob Du Schwarz oder Weiß bist). Spielt es doch – zumindest was Art, Umstand, Umfang und Zweck der Datenverarbeitung betrifft. Denn die Aufsichtsbehörden arbeiten derzeit an Listen von Verarbeitungstätigkeiten (Art. 35 Abs. 4 DSGVO), die angeben, wann eine Datenschutz-Folgenabschätzung notwendig ist und wann nicht. Wenn ja, dann steht’s auf der Blacklist, wenn nein, dann auf der Whitelist.

Diese Black- und Whitelisten gibt’s aber noch nicht bzw. sind noch nicht veröffentlicht. Und selbst nach Veröffentlichung können sie von den Aufsichtsbehörden fortlaufend angepasst werden. Ein entsprechender Link folgt, sobald es hierzu Neuigkeiten gibt.

Datenschutz-Folgenabschätzung, wenn diese Kriterien zutreffen

Die Fallbeschreibungen in der DSGVO, wann eine Datenschutz-Folgenabschätzung definitiv verlangt  wird, sind – nun ja, sagen wir – sehr offen formuliert (vgl. Artikel 35, Abs 3 DSGVO). Deswegen erarbeitet die Artikel-29-Arbeitsgruppe Bewertungskriterien, in welchen Fällen eine Folgenabschätzung notwendig ist.

Kurze Info zur Arbeitsgruppe: Sie ist ein aufgrund des Artikels 29 der Europäischen Datenschutzrichtlinie 95/46/EG gegründetes Beratungsgremium. Ihre Mitglieder sind Vertreter der Datenschutzaufsichtsbehörden der EU und der Mitgliedstaaten sowie ein Vertreter der Europäischen Kommission.

Gemeinsam haben sie den Auftrag, die oben angeführten Blacklists und Whitelists zu erstellen. Am  4. April 2017 hat die Gruppe ein englischsprachiges Arbeitspapier (PDF) veröffentlicht – ein Vorschlag für eine Blacklist. Darin werden zumindest 10 Kriterien aufgelistet, wann Sie eine Folgenabschätzung unbedingt durchführen müssen.

Diese 10 Kriterien verpflichten zur Datenschutz-Folgenabschätzung

Damit laut Arbeitsgruppen-Entwurf eine Pflicht zur Datenschutz-Folgenabschätzung besteht, müssen mehr als nur eins dieser  Kriterien auf Ihre Datenverarbeitungsvorgänge zutreffen. Eine Faustregel soll künftig sein, dass mindestens zwei dieser Kriterien erfüllt sein müssen, damit Sie der Gesetzgeber dazu verpflichten kann, eine Folgenabschätzung vorzunehmen.

  1. Daten zur Bewertung und Einstufung (Scoring) oder zur Erstellung von Prognosen und Profilen (Profiling) von Betroffenen, insbesondere in den Bereichen
    • Arbeit
    • Wirtschaftliche Situation
    • Gesundheit
    • Persönliche Vorlieben und Interessen
    • Bonität
    • Verhaltensweisen
    • Aufenthaltsort
  2. Formen automatisierter Entscheidungsfindung mit rechtlichen Folgen
  3. Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten (vgl. Art. 9 DSGVO)
  4. umfangreiche Verarbeitungsvorgänge
    • bezogen auf die Anzahl betroffener Personen und Datenkategorien, die Dauer der Verarbeitung sowie die geographische Ausdehnung
  5. systematisches Monitoring
  6. Zusammenführen oder Abgleich kombinierter Datensätze, die durch unterschiedliche Prozesse gewonnen wurden
  7. Daten schutzbedürftiger Personen wie Kinder, ältere Menschen, Patienten oder Mitarbeiter
  8. Nutzung neuer Technologien (zum Beispiel IoT-Entwicklungen, Fingerabdrucksensoren, Gesichtserkennung)
  9. Datentransfer außerhalb der EU
  10. Wenn die Datenverarbeitung dazu führen kann, dass ein Betroffener ein Recht nicht ausüben oder einen Vertrag nicht schließen kann (zum Beispiel Prüfung auf Kreditwürdigkeit)

Je mehr Kriterien zutreffen, desto wahrscheinlicher ist es, dass der Vorgang der Datenverarbeitung ein hohes Risiko darstellt. Eine Datenschutz-Folgenabschätzung wird sehr wahrscheinlich. In Zweifelsfällen fordert die Artikel-29-Datenschutzgruppe, dass Sie immer eine Folgenabschätzung durchführen.

Muss ich die DSFA veröffentlichen und erneuern?

Eine Pflicht zur Veröffentlichung einer Datenschutz-Folgenabschätzung sieht die DSGVO nicht vor. Experten empfehlen jedoch, eine mögliche Veröffentlichung in Betracht zu ziehen – besonders wenn Risiken für die Öffentlichkeit bestehen (z.B. Viedeoüberwachung). Außerdem raten DSGVO-Kenner eine Folgenabschätzung grundsätzlich alle drei Jahre zu erneuern, wie es die Artikel-29-Datenschutzgruppe fordert.

Schließlich bleibt die Welt nicht stehen – das gilt besonders im Zusammenhang mit der Digitalisierung: Hier kommt neue Software zum Einsatz, werden Daten in die Cloud verschoben oder dort fällt neue Hardware an. Das hat Einfluss auf die Risikobewertung bzw. Folgenabschätzung. Wenn alles beim Alten bleibt, kann das Ihr Unternehmen in der digitalen Entwicklung Ihres Geschäftsmodells zurückwerfen, allerdings besteht dann auch keine Pflicht zur erneuten Risikobewertung oder Datenschutz-Folgenabschätzung. Sie sollten also ganz genau abwägen, was wichtiger bzw. sinnvoller für die Zukunftsfähigkeit Ihres Betriebs ist.

Datenschutz-Folgenabschätzung: Das haben Sie jetzt zu tun

Knapp fünf Monate, etwas mehr als 20 Wochen oder 142 Tage bleiben Ihnen noch, bis Sie Ihr Unternehmen DSGVO-konform aufgestellt haben müssen. Und ja, Datensicherheit ist Chefsache. Sie sind als Inhaber, Geschäftsführer oder Vorstand nach DSGVO Verantwortlicher. Bleiben Sie also informiert, aber delegieren Sie auch: Ernennen Sie einen Datenschutzbeauftragten – intern oder extern – oder wenden Sie sich an einen IT-Dienstleister in Ihrer Nähe. Der bundesweite IT-Kompetenzverbund IT-SERVICE.NETWORK unterstützt Sie gern dabei.

Lese-Tipps: Durchführen einer Datenschutz-Folgenabschätzung

Zum Abschluss stellen wir Ihnen hier noch kurz drei Praxishilfen mit unterschiedlicher Länge und abweichenden Grad der Thementiefe zur Datenschutz-Folgenabschätzung vor. Sie sind als kostenlose PDF-Downloads im Netz verfügbar – ersetzen jedoch keinen Datenschutzbeauftragten, Anwalt oder IT-Dienstleister bzw. -Administrator.

  1. Kurzversion: 5 Seiten (Stand: 24.Juli 2017)
    • Die Datenschutzkonferenz DSK hat ein Kurzpapier (PDF) veröffentlicht, das beschreibt, wie Sie eine Datenschutz-Folgenabschätzung durchführen müssen. Das Kurzpapier „dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich“, wie die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO praktisch angewendet werden sollte.
  2. Mittellang: 12 Seiten (Stand: November 2017)
    • Die Gesellschaft für Datenschutz- und Datensicherheit (GDD) bietet eine Praxishilfe zur Datenschutz-Folgenabschätzung an und fasst Voraussetzungen dafür zusammen, inklusive Infos zu einer nachträglichen Folgenabschätzung und der Tätigkeit des Datenschutzbeauftragten dabei.
  3. Langversion: 48 Seiten (2. Auflage, Stand: Mai 2016)
    • Wer es genau wissen möchte und wissenschaftliche Texte nicht verabscheut, dem gibt das Whitepaper  des „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ mehr als nur Einblicke. Die Experten stellen darin ein Konzept zur korrekten Umsetzung der Datenschutz-Folgenabschätzung vor. An diesem Papier haben Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) mitgewirkt – gefördert vom Bundesministerium für Bildung und Forschung.

Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


security

DSGVO richtig umsetzen? Na klar!

Die Dienstleister des IT-SERVICE.NETWORK beraten Sie kompetent zu allen Fragen der IT-Sicherheit – inklusive DSGVO.

Zur IT-Sicherheit

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.