Wonach suchen Sie?

Skip to main content

Umsetzung des Datenschutzes mit risikobasiertem Ansatz: Königsdisziplin Datenschutz-Folgenabschätzung

19.05.2021 | Die Datenschutz-Folgenabschätzung (DSFA): Grundsätzlich müssen bei allen Verarbeitungstätigkeiten, in denen die Verarbeitung von personenbezogenen Daten nach Art. 30. Abs. 1 DSGVO beschrieben sind, auch die Risiken für die Betroffenen bei der Verarbeitung bewertet werden. Ist ein hohes Risiko zu erwarten, dann muss nach Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchgeführt werden.


Wann muss nach DSGVO eine Datenschutz-Folgenabschätzung erfolgen?

Hierzu heißt es in Art. 35 Abs. 1 DSGVO: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
 

Mindestinhalte einer DSFA (Art. 35 Abs. 7 DSGVO):

  1. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen:
    • Systematische Dokumentation,
    • ggfs. mehrere Zwecke,
    • Dokumentation des Interesses,
    • Nachweis der Berechtigung des Interesses.
       
  2. Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck:
    • Begründung für die Einführung des Verfahrens.
       
  3. Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
    • Bewertung der Motive der Organisation als Angreifer (im Hinblick auf Betroffene),
    • Verfahren / neue Technik als „Tatwaffe“,
    • Beurteilung der Risiken des Eingriffs in das Grundrecht der Betroffenen.
       
  4. Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt wird. Darüber hinaus der erbrachte Nachweis dafür, dass diese Verordnung eingehalten wird. Den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener wird hierbei Rechnung getragen.
    • Geplante Abhilfemaßnahmen und Nachweise bspw. durch
      • Prüfsiegel
      • Organisatorische Regelungen
      • Technische Sicherheitsvorrichtungen
    • Hohe Anforderung an Transparenz
    • Wirksamkeit der Maßnahmen muss dokumentierbar/ protokollierbar sein


Welche Risiken können auftreten?

Anders als bei den üblichen Risikobewertungen im Unternehmen, ist im Datenschutz stets die Sicht des Betroffenen einzunehmen. Ein Risiko besteht für den Betroffenen immer dann, wenn die Möglichkeit

  • einer Diskriminierung,
  • eines Identitätsdiebstahls,
  • eines finanziellen Verlusts,
  • der Rufschädigung,
  • des Verlusts der Vertraulichkeit personenbezogener Daten, die einem Berufsgeheimnis unterliegen (Schweigepflicht),
  • der unbefugten Aufhebung der Pseudonymisierung

sowie anderer erheblicher wirtschaftlicher oder gesellschaftlicher Nachteile besteht.

 

Wann soll denn nun eine DSFA durchgeführt werden?

In Art. 35 Abs. 4 und 5 DSGVO aufgeführt, dass die Aufsichtsbehörden Listen herausgeben. In den Listen ist angegeben, bei welchen Verarbeitungstätigkeiten eine DSFA durchzuführen ist und bei welchen nicht (Black- und Whitelist). Jedoch tun sich die Aufsichtsbehörden schwer mit der Erstellung dieser Listen. Inzwischen sind mehrere Listen aufgetaucht, die aber alle nicht die Vollständigkeit beanspruchen. So muss oft selbst entschieden werden, ob eine DSFA durchgeführt werden sollte. Im Zweifel ist es allerdings so oder so sicherer, eine DSFA durchzuführen. Die Durchführung der DSFA ist vor allem sinnvoll, bevor eine neue Verarbeitungstätigkeit eingeführt wird.

In Art. 35 DSGVO sind insbesondere folgende Fälle genannt:

  1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung – einschließlich Profiling – gründet. Die Bewertung dient ihrerseits als Grundlage für Entscheidungen, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
  3. systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Das Wort „insbesondere“ zeigt hier auf, dass vor allem – jedoch nicht ausschließlich bei diesen Fällen – eine DSFA erfolgen muss. Es ist außerdem schwierig, Aussagen wie „umfangreich“ oder „weiträumig“ zu quantifizieren.
Die Art.-29-Datenschutzgruppe, deren Vorgaben durch den ihr folgenden europäischen Datenschutzausschuss (EDSA) bestätigt wurden, fügt dieser Liste darüber hinaus Folgendes hinzu:

  • Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener (z.B. Kinder unter 16 Jahren)
  • Automatisierte Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen
  • Zusammenführen bzw. Kombinieren von Daten, die durch unterschiedliche Prozesse gewonnen wurden, sofern Betroffene nicht damit rechnen können
  • Einsatz neuer Technologien oder biometrischer Verfahren
  • Datentransfer in Länder außerhalb der EU/EWR

Ausnahmen von diesen Vorgaben sind nur gegeben, wenn das (geplante) Datenverarbeitungsverfahren aufgrund einer gesetzlichen Verpflichtung erfolgt (z.B. Umsetzen des Schwerbehindertenausgleichs).

 

Schematischer Ablauf einer Datenschutz-Folgenabschätzung:


Phase I: Vorbereitung
Phase II: Durchführung
Phase III: Umsetzung (Implementierung der Abhilfemaßnahmen)
Phase IV: Überprüfung

Was das für Ihr Unternehmen bedeutet

Für ein KMU ergibt sich die Pflicht, unter anderem (allerdings nicht abschließend) eine DSFA zu machen, wenn Sie die folgenden Verarbeitungen durchführen:

  • Videoüberwachung (auf dem Betriebsgelände)
  • Umfangreiche Datenverarbeitung in Bezug auf den Aufenthalt von Personen (Standortdaten von Dienstfahrzeugen, Offline-Tracking von Kundenbewegungen in Warenhäusern sowie Einkaufszentren)
  • Verarbeitung umfangreicher Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können, wodurch sich Rechtsfolgen für die Betroffenen ergeben oder diese in anderer Weise erheblich beeinträchtigt werden (z.B. durch den Einsatz von Data-Loss-Prevention-Systemen, die Profile von Mitarbeitenden erzeugen oder durch Geolokalisation von Beschäftigten)
  • Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung dieser zusammengeführten Daten in großem Umfang: Dies geschieht unter Einbindung von – für den Betroffenen nicht nachvollziehbaren – Algorithmen. Mittels dieser Algorithmen, d.h. automatisierter Verfahren, werden Daten losgelöst vom ursprünglichen Zweck, für den sie erhoben wurden, analysiert. Dies geschieht auch mit den Daten, die nicht direkt beim Betroffenen erhoben wurden. Es kommt zu der Erschließung neuer Zusammenhänge, die das Wissen über Betroffene erweitern und die anschließend für neue Zwecke genutzt werden (beispielsweise Big-Data-Analyse von Kundendaten, die noch aus Drittquellendaten angereichert wurden, Vergleich Kaufverhalten von Kunden unter Einbeziehung von Bonitätsdaten und Informationen aus sozialen Medien bereitgestellt durch Dritte).
  • Einsatz von künstlicher Intelligenz zur Steuerung oder der Bewertung von Betroffenen
  • Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung der Persönlichkeit von Betroffenen (z.B. Auswertung von Telefongesprächen).
  • Einbindung von Cloud-Diensten aus Drittstaaten (außerhalb EU/EWR) für Services, die im geschäftlichen Alltag eingesetzt werden (z.B. Videokonferenzsysteme, Microsoft 365).
  • Im Falle der Entwicklung von Soft- und Hardware, in denen personenbezogene Daten verarbeitet werden. Die DSFA dient hier auch dem Nachweis, dass die Anforderungen nach Art. 25 DSGVO (Privacy by Design, Privacy by Default) eingehalten werden.

Weitere Informationen erhalten Sie bei der Landesaufsicht für Datenschutz und Informationsfreiheit Baden-Württemberg.

Was Sie jetzt tun können: Handlungsempfehlungen

  • Führen Sie Risikobewertungen Ihrer Verarbeitungsprozesse durch, um zu ermitteln ob hohe Risiken für die Betroffenen, deren personenbezogene Daten verarbeitet werden, vorliegen.
  • Beachten Sie, dass auch vermeintlich harmlose Verarbeitungen, wie das Cloud-gebundene Microsoft 365 einer DSFA unterzogen werden sollten.
  • Stellen Sie ein geeignetes Team zur Durchführung der DSFA zusammen. Zu den Teammitgliedern sollten Mitarbeitende aus der verantwortlichen Abteilung bzw. dem verantwortlichen Fachbereich, der IT sowie Ihr Datenschutzbeauftragter sein.
  • Nutzen Sie Tools und Checklisten, die von den Aufsichtsbehörden (gesamteuropäisch) zur Verfügung gestellt werden, wie beispielsweise das Software-Tool der französischen Datenschutzaufsicht CNIL (PIA-Tool). Dadurch werden Sie durch die gesamte DSFA geführt.
  • Kommen Sie bei Ihrer Prüfung zu dem Ergebnis, dass hohe Risiken bestehen, dann führen Sie eine Datenschutz-Folgenabschätzung durch. Dadurch ermitteln Sie die erforderlichen Maßnahmen, um Ihre Risiken zu senken. Beziehen Sie unbedingt die oben aufgeführte Beispiele bei Ihrer Prüfung mit ein.
  • Nach Ermittlung der Maßnahmen sollte in der DSFA abschließend auch deren Wirksamkeit dokumentiert werden.

Datenpannen müssen den Aufsichtsbehörden gemeldet werden. Dadurch kann auch geprüft werden, ob bei der entsprechenden Datenverarbeitung eine DSFA vorlag. Hierzu äußern Sich die Aufsichtsbehörden folgendermaßen:

Führt ein Verantwortlicher Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DS-GVO oder der vorliegenden Liste aufgeführt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DS-GVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 DS-GVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DS-GVO offen.

Gerne unterstützen Sie die Experten von ORGATEAM dabei, Ihren Rechenschaftspflichten nachzukommen und eine geeignete Lösung für Ihr Unternehmen zu finden. Profitieren Sie von jahrelanger Erfahrung mit der Durchführung von Datenschutz-Folgenabschätzungen!

 

Ihr Ansprechpartner:

Rainer Harwardt | +49 (7805) 918-2553 | rainer.harwardt@orgateam.org