DSFA

Wann sind Firmen dazu verpflichtet?


10. Januar 2018, von in IT-Sicherheit

DSFA ist die Abkürzung für Datenschutz-Folgenabschätzung. Sie wird Ende Mai 2018 mit der EU-Datenschutz-Grundverordnung für einige Datenverarbeitungsprozesse in Unternehmen zur Pflicht. Ob Sie eine DSFA für Ihren Betrieb vornehmen müssen, klärt dieser Artikel – auch im Vergleich zur bekannten Vorabkontrolle nach altem Bundesdatenschutzgesetz (BDSG).

dsfa, risikoanalyse, pia, datenschutzrisiko, vorabkontrolle

Nicht für jeden Datenverarbeitungsprozess müssen Sie eine DSFA machen. Foto: pixabay –
geralt/gerd altmann

DSFA – Sie müssen Ihr Risiko kennen

Ob Sie nun gesetzlich dazu verpflichtet sind, eine DSFA vorzunehmen: In jedem Fall müssen Sie Ihr Risiko kennen bzw. das Datenschutzrisko der Betroffenen durch Ihre Verarbeitung. Mit einer Risikoanlayse stellen Sie erst einmal fest, ob für bestimmte Datenverarbeitungsprozesse eine DSFA erforderlich ist (Erforderlichkeitsprüfung ErwGR. 91 DSGVO). Das bedeutet für Sie: auf Datensuche gehen, sensible Daten ausmachen, ihr Risiko analysieren und bewerten. Diese Risikobewertung (Risk assessment, ErwGr. 77 DSGVO) klingt komplizierter als sie ist. Denn mittels Verträge zur Auftragsdatenverarbeitung sowie ihrer Pflicht ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu führen, haben Sie schon einige Risiken – auch rechtlich – minimiert, zum Beispiel  durch technische und organisatorische Maßnahmen (TOMs, ErwGr. 78 DSGVO, Art. 71 Abs. 2 BDSG (neu)). Denn durch Datenpseydonomisierung und -verschlüsselung sowie ISO-Zertifizierungen erhöhen Sie grundsätzlich die geforderte Sicherheit Ihrer Datenverarbeitung (Art 32 DSGVO).

DSFA: Datenschutzrisiken nach objektiven Kriterien

Laut DSGVO sind Datenschutzrisiken nach „objektiven Kriterien“ zu ermitteln. Dabei müssen Sie für jede konkrete Verarbeitung Folgendes berücksichtigen – natürlich aus Sicht des eventuell Betroffenen und nicht etwa als Einschätzung Ihres eigenen finanziellen Schadens, der dadurch entstehen könnte (ErwGr. 76 und Art. 71 BDSG (neu) Abs. 1)

  • Eintrittswahrscheinlichkeit: Hierbei müssen Sie die Risiko-Quellen, intern wie extern, bestimmen (z.B. Hacker, IT-Administratoren, Wettbewerber, etc.)
  • Verwendung neuer Technologien
  • Mögliche Schwere des Schadens aufgrund von
    • Verarbeitungsart
    • Verarbeitungsumfang
    • Verarbeitungsumständen
    • Verarbeitungszweck

Der Digitalverband Bitkom hat hierzu einen Leitfaden herausgegeben (PDF, 64 Seiten, Stand: 2017). Wird nach der Risikoanalyse eine DSFA erforderlich, die dann immer noch ein hohes Datenschutz-Restrisiko Ihrer Verarbeitungsvorgänge identifiziert, ist die zuständige Aufsichtsbehörde „zurate“ zu ziehen  (vgl. Art. 36 DS-GVO, ErwGr. 84 und ErwGr. 94).

Vergleich DSFA – Vorabkontrolle

In englischer Sprache wird die DSFA PIA genannt für Privacy Impact Assessment. International gesehen ist PIA nix Neues. Die „deutsche“ DSFA für die Firmen in der Bundesrepublik allerdings schon. Deshalb ergeben sich für den deutschen Datenschutz Änderungen. Schon allein, weil die DSFA mit endgültigen Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 die bis jetzt bekannte Vorabkontrolle nach dem Bundesdatenschutzgesetz (§ 4d Abs. 5 BDSG) ablöst. „Besondere Risiken“ werden zu „hohen Risiken“.

Sprachlicher Schnickschnack – das ist doch alles das Gleiche? Nun ja, wenn man Datenschutzaufsichtsbehörden und Rechtsexperten glaubt, ist es das nicht. Mit einer Vorabkontrolle 2.0 – also gleiches Prozedere nur unter neuem Namen – sei es nicht getan. Besonders die ausführlichen Nachweis- und Dokumentationspflichten der Risikobewertung sowie die Meldepflichten haben es in sich. Sie seien nicht vergleichbar mit der bekannten Vorabkontrolle nach BDSG.

Denn die Vorabkontrolle sorgte bisher nur dafür, dass in bestimmten Fällen der Datenschutzbeauftragte lediglich eine interne Prüfung der Datenverarbeitung vornehmen musste. Bei der Datenschutz-Folgenabschätzung besteht aber zusätzlich die bereits angemerkte Meldepflicht bei der zuständigen Aufsichtsbehörde – wenn Ihre Datenverarbeitungen mit einem hohem Datenschutzrisiko verbunden sind. Wichtig in diesem Fall: Sie müssen Ihr datenschutzrechtlich riskantes Verarbeitungsverfahren melden, und zwar bevor Sie damit loslegen.

Hoher Datenschutzbedarf NICHT gleich hohes Risiko

Die Risikobewertung Ihrer Verarbeitungsprozesse dient dazu, dass Sie feststellen, ob Sie eine DSFA durchführen müssen oder nicht. Hüten Sie sich jetzt jedoch vor panischen Denkfehlern – zu Ihrem eigenen Schutz, den Ihrer Zeit, Nerven und Ihres Geldes.

Denn gerade bei dem Kriterium der Eintrittswahrscheinlichkeit einer Datenpanne gilt: Nur weil bestimmte Daten einen hohen Datenschutz verlangen, heißt das nicht automatisch, dass die Verarbeitung dieser Daten nach DSGVO ein hohes Risiko darstellen (Stichwort Datenpseudonymisierung, -verschlüsselung und Cloud-Zertifizierung).

Oder Sie sind Arzt oder Anwalt. Diese Berufsgruppen sind von der DSFA-Pflicht nämlich weitestgehend ausgenommen – obwohl sie eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Patientendaten oder strafrechtliche Verurteilungen sowie Straftaten) vornehmen (ErwGr. 91 DSGVO).

Wann muss ich eine DSFA durchführen?

Die Notwendigkeit einer Datenschutz-Folgenabschätzung ist weniger eine Frage nach dem Wann als vielmehr nach dem Wie: Wie verarbeitet Ihr Unternehmen personenbezogene Daten? Dafür müssen Sie erst einmal eine Risikobewertung durchführen – auch Schwellenwertanalyse genannt.

Im Klartext: Sie müssen all Ihre Verarbeitungsprozesse personenbezogener Daten auf Datenschutzrisiken hin analysieren, dokumentieren und immer wieder überprüfen. Denn: Ob Sie nun eine DSFA durchführen müssen oder nicht, Sie müssen in jedem Fall Ihre Entscheidung für oder wider DSFA schriftlich begründen – und das für jeden dieser Verarbeitungsvorgänge.

Welche Kriterien, eine DSFA erforderlich machen, lesen Sie im Blogartikel Datenschutz-Folgenabschätzung – Kennen Sie Ihr Risiko?

Keine DSFA erforderlich – Praxisbeispiele

Experten nennen allerdings auch jetzt schon Fälle, in denen Sie nicht zwingend eine Datenschutz-Folgenabschätzung durchführen müssen, zum Beispiel wenn

  • Sie eine Mailingliste verwenden (die deutsche Gesellschaft für Datenschutz bietet Ihnen die kostenlose Erstellung eines Datenschutzerklärung-Muster an), um einen täglichen Newsletter an Ihre Abonnenten zu senden
  • Sie E-Commerce-Unternehmen (Internet-Händler) sind und für die Anzeigenschaltung auf Ihrer Webseite Reichweiten- bzw. Mediadaten angeben, die auf einer Nutzeranalyse der Einkäufe basieren.

Wie sicher Ihre IT-Systeme generell aufgestellt sind, können Sie durch einen IT-Sicherheitscheck herausfinden. Auch Angriffe auf Ihr Firmen-Netzwerk lassen sich mithilfe eines Penetrationstests simulieren. Beide Möglichkeiten helfen Ihnen zusätzlich, Ihre Firmen-IT DSGVO-konform aufzustellen. Die IT-Dienstleister des Kompetenzverbunds IT-SERVICE.NETWORK unterstützen Sie dabei gern.


Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


security

DSGVO richtig umsetzen? Na klar!

Die Dienstleister des IT-SERVICE.NETWORK beraten Sie kompetent zu allen Fragen der IT-Sicherheit – inklusive DSGVO.

Zur IT-Sicherheit

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

This site uses Akismet to reduce spam. Learn how your comment data is processed.