DSFA

Wann sind Firmen dazu verpflichtet?

Von in IT-Sicherheit
10
Jan
'18

DSFA ist die Abkürzung für Datenschutz-Folgenabschätzung. Sie wird Ende Mai 2018 mit der EU-Datenschutz-Grundverordnung für einige Datenverarbeitungsprozesse in Unternehmen zur Pflicht. Ob Sie eine DSFA für Ihren Betrieb vornehmen müssen, klärt dieser Artikel – auch im Vergleich zur bekannten Vorabkontrolle nach altem Bundesdatenschutzgesetz (BDSG).

dsfa, risikoanalyse, pia, datenschutzrisiko, vorabkontrolle

Nicht für jeden Datenverarbeitungsprozess müssen Sie eine DSFA machen. Foto: pixabay –
geralt/gerd altmann

DSFA – Sie müssen Ihr Risiko kennen

Ob Sie nun gesetzlich dazu verpflichtet sind, eine DSFA vorzunehmen: In jedem Fall müssen Sie Ihr Risiko kennen bzw. das Datenschutzrisko der Betroffenen durch Ihre Verarbeitung. Mit einer Risikoanlayse stellen Sie erst einmal fest, ob für bestimmte Datenverarbeitungsprozesse eine DSFA erforderlich ist (Erforderlichkeitsprüfung ErwGR. 91 DSGVO). Das bedeutet für Sie: auf Datensuche gehen, sensible Daten ausmachen, ihr Risiko analysieren und bewerten. Diese Risikobewertung (Risk assessment, ErwGr. 77 DSGVO) klingt komplizierter als sie ist. Denn mittels Verträge zur Auftragsdatenverarbeitung sowie ihrer Pflicht ein Verarbeitungsverzeichnis nach Art. 30 DSGVO zu führen, haben Sie schon einige Risiken – auch rechtlich – minimiert, zum Beispiel  durch technische und organisatorische Maßnahmen (TOMs, ErwGr. 78 DSGVO, Art. 71 Abs. 2 BDSG (neu)). Denn durch Datenpseydonomisierung und -verschlüsselung sowie ISO-Zertifizierungen erhöhen Sie grundsätzlich die geforderte Sicherheit Ihrer Datenverarbeitung (Art 32 DSGVO).

DSFA: Datenschutzrisiken nach objektiven Kriterien

Laut DSGVO sind Datenschutzrisiken nach „objektiven Kriterien“ zu ermitteln. Dabei müssen Sie für jede konkrete Verarbeitung Folgendes berücksichtigen – natürlich aus Sicht des eventuell Betroffenen und nicht etwa als Einschätzung Ihres eigenen finanziellen Schadens, der dadurch entstehen könnte (ErwGr. 76 und Art. 71 BDSG (neu) Abs. 1)

  • Eintrittswahrscheinlichkeit: Hierbei müssen Sie die Risiko-Quellen, intern wie extern, bestimmen (z.B. Hacker, IT-Administratoren, Wettbewerber, etc.)
  • Verwendung neuer Technologien
  • Mögliche Schwere des Schadens aufgrund von
    • Verarbeitungsart
    • Verarbeitungsumfang
    • Verarbeitungsumständen
    • Verarbeitungszweck

Der Digitalverband Bitkom hat hierzu einen Leitfaden herausgegeben (PDF, 64 Seiten, Stand: 2017). Wird nach der Risikoanalyse eine DSFA erforderlich, die dann immer noch ein hohes Datenschutz-Restrisiko Ihrer Verarbeitungsvorgänge identifiziert, ist die zuständige Aufsichtsbehörde „zurate“ zu ziehen  (vgl. Art. 36 DS-GVO, ErwGr. 84 und ErwGr. 94).

Vergleich DSFA – Vorabkontrolle

In englischer Sprache wird die DSFA PIA genannt für Privacy Impact Assessment. International gesehen ist PIA nix Neues. Die „deutsche“ DSFA für die Firmen in der Bundesrepublik allerdings schon. Deshalb ergeben sich für den deutschen Datenschutz Änderungen. Schon allein, weil die DSFA mit endgültigen Inkrafttreten der EU-Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 die bis jetzt bekannte Vorabkontrolle nach dem Bundesdatenschutzgesetz (§ 4d Abs. 5 BDSG) ablöst. „Besondere Risiken“ werden zu „hohen Risiken“.

Sprachlicher Schnickschnack – das ist doch alles das Gleiche? Nun ja, wenn man Datenschutzaufsichtsbehörden und Rechtsexperten glaubt, ist es das nicht. Mit einer Vorabkontrolle 2.0 – also gleiches Prozedere nur unter neuem Namen – sei es nicht getan. Besonders die ausführlichen Nachweis- und Dokumentationspflichten der Risikobewertung sowie die Meldepflichten haben es in sich. Sie seien nicht vergleichbar mit der bekannten Vorabkontrolle nach BDSG.

Denn die Vorabkontrolle sorgte bisher nur dafür, dass in bestimmten Fällen der Datenschutzbeauftragte lediglich eine interne Prüfung der Datenverarbeitung vornehmen musste. Bei der Datenschutz-Folgenabschätzung besteht aber zusätzlich die bereits angemerkte Meldepflicht bei der zuständigen Aufsichtsbehörde – wenn Ihre Datenverarbeitungen mit einem hohem Datenschutzrisiko verbunden sind. Wichtig in diesem Fall: Sie müssen Ihr datenschutzrechtlich riskantes Verarbeitungsverfahren melden, und zwar bevor Sie damit loslegen.

Hoher Datenschutzbedarf NICHT gleich hohes Risiko

Die Risikobewertung Ihrer Verarbeitungsprozesse dient dazu, dass Sie feststellen, ob Sie eine DSFA durchführen müssen oder nicht. Hüten Sie sich jetzt jedoch vor panischen Denkfehlern – zu Ihrem eigenen Schutz, den Ihrer Zeit, Nerven und Ihres Geldes.

Denn gerade bei dem Kriterium der Eintrittswahrscheinlichkeit einer Datenpanne gilt: Nur weil bestimmte Daten einen hohen Datenschutz verlangen, heißt das nicht automatisch, dass die Verarbeitung dieser Daten nach DSGVO ein hohes Risiko darstellen (Stichwort Datenpseudonymisierung, -verschlüsselung und Cloud-Zertifizierung).

Oder Sie sind Arzt oder Anwalt. Diese Berufsgruppen sind von der DSFA-Pflicht nämlich weitestgehend ausgenommen – obwohl sie eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Patientendaten oder strafrechtliche Verurteilungen sowie Straftaten) vornehmen (ErwGr. 91 DSGVO).

Wann muss ich eine DSFA durchführen?

Die Notwendigkeit einer Datenschutz-Folgenabschätzung ist weniger eine Frage nach dem Wann als vielmehr nach dem Wie: Wie verarbeitet Ihr Unternehmen personenbezogene Daten? Dafür müssen Sie erst einmal eine Risikobewertung durchführen – auch Schwellenwertanalyse genannt.

Im Klartext: Sie müssen all Ihre Verarbeitungsprozesse personenbezogener Daten auf Datenschutzrisiken hin analysieren, dokumentieren und immer wieder überprüfen. Denn: Ob Sie nun eine DSFA durchführen müssen oder nicht, Sie müssen in jedem Fall Ihre Entscheidung für oder wider DSFA schriftlich begründen – und das für jeden dieser Verarbeitungsvorgänge.

Welche Kriterien, eine DSFA erforderlich machen, lesen Sie im Blogartikel Datenschutz-Folgenabschätzung – Kennen Sie Ihr Risiko?

Keine DSFA erforderlich – Praxisbeispiele

Experten nennen allerdings auch jetzt schon Fälle, in denen Sie nicht zwingend eine Datenschutz-Folgenabschätzung durchführen müssen, zum Beispiel wenn

  • Sie eine Mailingliste verwenden (die deutsche Gesellschaft für Datenschutz bietet Ihnen die kostenlose Erstellung eines Datenschutzerklärung-Muster an), um einen täglichen Newsletter an Ihre Abonnenten zu senden
  • Sie E-Commerce-Unternehmen (Internet-Händler) sind und für die Anzeigenschaltung auf Ihrer Webseite Reichweiten- bzw. Mediadaten angeben, die auf einer Nutzeranalyse der Einkäufe basieren.

Wie sicher Ihre IT-Systeme generell aufgestellt sind, können Sie durch einen IT-Sicherheitscheck herausfinden. Auch Angriffe auf Ihr Firmen-Netzwerk lassen sich mithilfe eines Penetrationstests simulieren. Beide Möglichkeiten helfen Ihnen zusätzlich, Ihre Firmen-IT DSGVO-konform aufzustellen. Die IT-Dienstleister des Kompetenzverbunds IT-SERVICE.NETWORK unterstützen Sie dabei gern.


Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.


security

DSGVO richtig umsetzen? Na klar!

Die Dienstleister des IT-SERVICE.NETWORK beraten Sie kompetent zu allen Fragen der IT-Sicherheit – inklusive DSGVO.

Zur IT-Sicherheit

Linda Boegelein

Fragen zum Artikel? Frag den Autor

Datenschutz-Folgenabschätzung ! | JK Computer - Wir machen Ihre IT.

MTM, 3. Juni 2019 um 17:00

Sehr aufschlussreicher Artikel zur DSFA nach DSGVO. Hätte da mal eine Frage zum Thema gesundheitliche Daten in einem Anmeldeformular erfragen. Bspw. Nachfrage ob ein Bandscheibenvorfall vorliegt oder eine Schwangerschaft. In diesem Fall für ein Yoga Studio was diese meiner Meinung nach Art. 9 Daten nach DSGVO erfragen will um diese aus Kursen auschließen zu können. Zu einem um weitere Schäden zu vermeiden und nicht in Verantwortung genommen zu werden wenn etwas passiert. Verstehe ich da dann Art.9 Abs.2 Lit. f,i richtig als Grund diese Daten zu erheben?

Danke für die Einschätzung.
MfG MTM

Antworten

    IT-SERVICE.NETWORK-Team, 4. Juni 2019 um 11:44

    Hallo MTM,

    wir verstehen das auch so. Für eine genaue Beratung würden Ihnen den Besuch eines Anwalts empfehlen.

    Freundliche Grüße
    Ihr IT.SERVICE-NETWORK-Team

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.