Jede Firma verarbeitet personenbezogene Daten – von Kunden, Lieferanten, Mitarbeitern. Das hat ab Mai 2018 datenschutzrechtlich schärfere Konsequenzen als bisher. Dann wird die deutsche Vorabkontrolle zur europaweiten Datenschutz-Folgenabschätzung.
Was sich damit ändert und was Sie jetzt zu tun haben? Das erfahren Sie hier.
Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung, kurz DSFA, ist eine Methode, die für jede Form der Datenverarbeitung durchzuführen ist, die ein hohes Risiko für die Rechte und Freiheiten jeder von der Verarbeitung betroffenen Person darstellt. Damit ist doch alles klar, oder? Genau wegen dieser griffigen, aber nichtssagenden Definition beleuchtet dieser Artikel die Folgenabschätzung, wie sie verkürzt auch genannt wird.
Genaugenommen handelt es sich bei der Datenschutz-Folgenabschätzung um den Artikel 35 der DSGVO, der Sie als Verantwortlichen zu einer Datenschutz-Folgenabschätzung (DSFA) zwingt, wenn ein „voraussichtlich hohes Risiko“ mit der Verarbeitung von Daten verbunden ist.
Nach Erwägungsgrund 75 (ErwGr. 75) riskiert eine Datenverarbeitung die sogenannten Rechte und Freiheiten betroffener Personen, wenn sie zu physischen, materiellen und immateriellen Schäden führen kann. Darunter fallen zum Beispiel:
- Diskriminierung
- Identitätsdiebstahl
- Finanzieller Verlust
- Rufschädigung
- Hinderung der Kontrolle über eigene Daten
- Profilbildung mit Standortdaten
Wenn Sie sich informieren möchten, wann bzw. ob Sie überhaupt dazu verpflichtet sind, eine Datenschutz-Folgenabschätzung vorzunehmen, lesen Sie den ergänzenden Blogartikel DSFA – wann sind Firmen dazu verpflichtet?
Warum Datenschutz-Folgenabschätzung?
Grundsätzlich muss eine Datenschutz-Folgenabschätzung nur für die Verarbeitungsvorgänge vorgenommen werden, die nach Inkrafttreten der DSGVO am 25. Mai 2018 begonnen werden. Schließlich ist in der DSGVO nur die Rede von „vorgesehenen Verarbeitungsvorgängen“ (vgl. Artikel 35, Abs. 1 DSGVO) und „geplanten Verarbeitungsvorgängen“ (vgl. Artikel 35, Abs. 7a).
Juristen raten allerdings dringend dazu, auch für jede Ihrer bereits bestehenden Datenverarbeitungen die Notwendigkeit einer Datenschutz-Folgenabschätzung zu prüfen, das Ergebnis der Prüfung zu dokumentieren und eine erforderliche Folgenabschätzung vorzunehmen. Hier zwei schlagende Argumente dafür:
- Unsichere Rechtslage: Das maßgebliche Kriterium „hohes Risiko für die Rechte und Freiheiten der Betroffenen“ ist schwammig formuliert und wird in der DSGVO nicht näher definiert. Die Notwendigkeit einer Datenschutz-Folgenabschätzung wird damit zur reinen Auslegungssache, um die sich künftig wohl Gerichte kümmern. Also gehen Sie lieber auf Nummer sicher und nehmen Sie zumindest eine Risikobewertung Ihrer bestehenden Daten(verarbeitungsprozesse) vor.
- 10 Millionen Euro – haben oder nicht: Stellt sich heraus, dass Sie trotz der Pflicht zu einer Datenschutz-Folgenabschätzung darauf verzichten oder sie nicht korrekt durchführen, kann’s richtig teuer werden. Denn damit riskieren Sie ein Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des gesamten weltweiten Jahresumsatzes Ihres Unternehmens. (Art 83 Abs. 4a DSGVO)
Datenschutz-Folgenabschätzung: Das muss drin stehen
Eine Datenschutz-Folgenabschätzung können Sie nicht mal eben aus der Hüfte schießen. Denn sie ist eine systematische Beschreibung Ihrer Verarbeitungsvorgänge und muss die Zwecke der Verarbeitung enthalten. Dazu müssen Sie (technische) Prozesse, IT-Systeme und Produkte sowie Datenflüsse und Systemgrenzen im Detail bewerten.
In einer Datenschutz-Folgenabschätzung müssen Sie als Verantwortlicher Ihre Interessen an der Datenverarbeitung beschreiben sowie deren Verhältnismäßigkeit und Notwendigkeit festlegen, zum Beispiel für intelligente Videoüberwachung oder Erkenntnisse durch Datenanalysen. So beschreibt es das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) in einem Dokument (PDF).
Das Ganze ist laut DSGVO übrigens nur der Mindeststandard, was eine Datenschutz-Folgenabschätzung enthalten muss (vgl. Art. 35 Abs. 7 DSGVO). Die Arbeiten zu dieser Pflichterfüllung dürfen Sie allerdings delegieren – zum Beispiel an Ihren Datenschutzbeauftragten. Müssen Sie eine Folgenabschätzung vornehmen, ist dafür der Rat Ihres Datenschutzbeauftragten sogar zwingend einzuholen, sofern Sie einen benannt haben (vgl. Art. 35, Abs. 2 DSGVO). Viele IT-Dienstleister sind daher auch als (zertifizierte) externe Datenschutzbeauftragte tätig.
Eine einzige Datenschutz-Folgenabschätzung für gleiche Prozesse
Sie müssen mehrere Folgenabschätzungen durchführen? Dann erlauben Artikel 35, Abs. 1 und Erwägungsgrund 92 DSGVO, dass Sie für eine Reihe mehrerer gleichgelagerter Datenverarbeitungsprozessen mit ähnlich hohem Risiko eine einzige Folgenabschätzung vornehmen dürfen.
Unter folgender Bedingung: Sie verarbeiten dieselbe Art von Daten zum selben Zweck mit ähnlicher Technologie. Das kann beispielsweise der Fall sein, wenn Sie ein vergleichbares Videoüberwachungssystem in mehreren Filialen Ihres Unternehmens einsetzen.
DSFA notwendig oder nicht? – die „Muss-Liste“
In der vom Datenschutzzentrum veröffentlichten „Muss-Liste“ werden alle erforderlichen Verarbeitungsvorgänge nach Art. 35, Abs. 4 DSGVO dargestellt: „Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Ab-satz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese.“
Ergänzt wird vom Datenschutzzentrum: „Die vorliegende Liste beinhaltet auch solche Verarbeitungsvorgänge, die mit dem Angebot von Waren und Dienstleistungen für betroffene Personen in mehreren Mitgliedstaaten verbundensind. […] Außerdem ist geplant, die von den deutschen Aufsichtsbehörden veröffentlichten Listen in Kürze unter den Mitgliedern der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) abzustimmen.“
Zu den Kriterien, die eine Datenschutz-Folgeabschätzung erforderlich machen gehören: Für eine ausführliche Übersicht ist die Muss-Liste als PDF frei einsehbar.
Datenschutz-Folgenabschätzung, wenn diese Kriterien zutreffen
Die Fallbeschreibungen in der DSGVO, wann eine Datenschutz-Folgenabschätzung definitiv verlangt wird, sind – nun ja, sagen wir – sehr offen formuliert (vgl. Artikel 35, Abs 3 DSGVO). Deswegen erarbeitet die Artikel-29-Arbeitsgruppe Bewertungskriterien, in welchen Fällen eine Folgenabschätzung notwendig ist.
Kurze Info zur Arbeitsgruppe: Sie ist ein aufgrund des Artikels 29 der Europäischen Datenschutzrichtlinie 95/46/EG gegründetes Beratungsgremium. Ihre Mitglieder sind Vertreter der Datenschutzaufsichtsbehörden der EU und der Mitgliedstaaten sowie ein Vertreter der Europäischen Kommission. Gemeinsam haben sie den Auftrag, die oben angeführten Listen, mit denen die „Muss-Liste“ abzustimmen ist, zu erstellen.
Am 4. April 2017 hat die Gruppe als Vorschlag hierzu ein englischsprachiges Arbeitspapier (PDF) veröffentlicht. Darin werden zumindest 10 Kriterien aufgelistet, wann Sie eine Folgenabschätzung unbedingt durchführen müssen.
Diese 10 Kriterien verpflichten zur Datenschutz-Folgenabschätzung
Damit laut Arbeitsgruppen-Entwurf eine Pflicht zur Datenschutz-Folgenabschätzung besteht, müssen mehr als nur eins dieser Kriterien der „Muss-Liste“ auf Ihre Datenverarbeitungsvorgänge zutreffen. Eine Faustregel soll künftig sein, dass mindestens zwei dieser Kriterien erfüllt sein müssen, damit Sie der Gesetzgeber dazu verpflichten kann, eine Folgenabschätzung vorzunehmen.
- Daten zur Bewertung und Einstufung (Scoring) oder zur Erstellung von Prognosen und Profilen (Profiling) von Betroffenen, insbesondere in den Bereichen
- Arbeit
- Wirtschaftliche Situation
- Gesundheit
- Persönliche Vorlieben und Interessen
- Bonität
- Verhaltensweisen
- Aufenthaltsort
- Formen automatisierter Entscheidungsfindung mit rechtlichen Folgen
- Verarbeitung sensibler Daten wie beispielsweise Gesundheitsdaten (vgl. Art. 9 DSGVO)
- umfangreiche Verarbeitungsvorgänge
- bezogen auf die Anzahl betroffener Personen und Datenkategorien, die Dauer der Verarbeitung sowie die geographische Ausdehnung
- systematisches Monitoring
- Zusammenführen oder Abgleich kombinierter Datensätze, die durch unterschiedliche Prozesse gewonnen wurden
- Daten schutzbedürftiger Personen wie Kinder, ältere Menschen, Patienten oder Mitarbeiter
- Nutzung neuer Technologien (zum Beispiel IoT-Entwicklungen, Fingerabdrucksensoren, Gesichtserkennung)
- Datentransfer außerhalb der EU
- Wenn die Datenverarbeitung dazu führen kann, dass ein Betroffener ein Recht nicht ausüben oder einen Vertrag nicht schließen kann (zum Beispiel Prüfung auf Kreditwürdigkeit)
Je mehr Kriterien zutreffen, desto wahrscheinlicher ist es, dass der Vorgang der Datenverarbeitung ein hohes Risiko darstellt. Eine Datenschutz-Folgenabschätzung wird sehr wahrscheinlich. In Zweifelsfällen fordert die Artikel-29-Datenschutzgruppe, dass Sie immer eine Folgenabschätzung durchführen.
Muss ich die DSFA veröffentlichen und erneuern?
Eine Pflicht zur Veröffentlichung einer Datenschutz-Folgenabschätzung sieht die DSGVO nicht vor. Experten empfehlen jedoch, eine mögliche Veröffentlichung in Betracht zu ziehen – besonders wenn Risiken für die Öffentlichkeit bestehen (zum Beispiel Viedeoüberwachung). Außerdem raten DSGVO-Kenner eine Folgenabschätzung grundsätzlich alle drei Jahre zu erneuern, wie es die Artikel-29-Datenschutzgruppe fordert.
Schließlich bleibt die Welt nicht stehen – das gilt besonders im Zusammenhang mit der Digitalisierung: Hier kommt neue Software zum Einsatz, werden Daten in die Cloud verschoben oder dort fällt neue Hardware an. Das hat Einfluss auf die Risikobewertung bzw. Folgenabschätzung. Wenn alles beim Alten bleibt, kann das Ihr Unternehmen in der digitalen Entwicklung Ihres Geschäftsmodells zurückwerfen, allerdings besteht dann auch keine Pflicht zur erneuten Risikobewertung oder Datenschutz-Folgenabschätzung. Sie sollten also ganz genau abwägen, was wichtiger bzw. sinnvoller für die Zukunftsfähigkeit Ihres Betriebs ist.
Datenschutz-Folgenabschätzung: Das haben Sie jetzt zu tun
Knapp fünf Monate, etwas mehr als 20 Wochen oder 142 Tage bleiben Ihnen noch, bis Sie Ihr Unternehmen DSGVO-konform aufgestellt haben müssen. Und ja, Datensicherheit ist Chefsache. Sie sind als Inhaber, Geschäftsführer oder Vorstand nach DSGVO Verantwortlicher.
Bleiben Sie also informiert, aber delegieren Sie auch: Ernennen Sie einen Datenschutzbeauftragten – intern oder extern – oder wenden Sie sich an einen IT-Dienstleister in Ihrer Nähe. Der bundesweite IT-Kompetenzverbund IT-SERVICE.NETWORK unterstützt Sie gern dabei.
Lese-Tipps: Durchführen einer Datenschutz-Folgenabschätzung
Zum Abschluss stellen wir Ihnen hier noch kurz drei Praxishilfen mit unterschiedlicher Länge und abweichenden Grad der Thementiefe zur Datenschutz-Folgenabschätzung vor. Sie sind als kostenlose PDF-Downloads im Netz verfügbar – ersetzen jedoch keinen Datenschutzbeauftragten, Anwalt oder IT-Dienstleister bzw. -Administrator.
- Kurzversion: 5 Seiten (Stand: 24.Juli 2017)
- Die Datenschutzkonferenz DSK hat ein Kurzpapier (PDF) veröffentlicht, das beschreibt, wie Sie eine Datenschutz-Folgenabschätzung durchführen müssen. Das Kurzpapier „dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich“, wie die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO praktisch angewendet werden sollte.
- Mittellang: 12 Seiten (Stand: November 2017)
- Die Gesellschaft für Datenschutz- und Datensicherheit (GDD) bietet eine Praxishilfe zur Datenschutz-Folgenabschätzung an und fasst Voraussetzungen dafür zusammen, inklusive Infos zu einer nachträglichen Folgenabschätzung und der Tätigkeit des Datenschutzbeauftragten dabei.
- Langversion: 48 Seiten (2. Auflage, Stand: Mai 2016)
- Wer es genau wissen möchte und wissenschaftliche Texte nicht verabscheut, dem gibt das Whitepaper des „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ mehr als nur Einblicke. Die Experten stellen darin ein Konzept zur korrekten Umsetzung der Datenschutz-Folgenabschätzung vor. An diesem Papier haben Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) mitgewirkt – gefördert vom Bundesministerium für Bildung und Forschung.
Lesen noch weitere interessante Tipps und Informationen zur DSGVO – natürlich hier bei uns im Blog.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung