Einfacher Prozess zur Durchführung der Datenschutz-Folgenabschätzung

Fachbeitrag

Die Datenschutz-Folgenabschätzung (DSFA) wird ab Mai 2018 die Vorabkontrolle des BDSG ersetzen. Damit die DSFA ihren Zweck erfüllen kann, muss für ihre Vorbereitung und Durchführung ein geordneter Prozess im Unternehmen geschaffen werden. Einen Vorschlag, wie Sie diesen möglichst einfach gestalten können, stellen wir heute vor.

Zweck der DSFA

Die DSFA nach Art. 35 DSGVO dient dem Zweck, bereits in einem frühen Stadium bei der Neueinführung von Verarbeitungsvorgängen die voraussichtlichen Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zu identifizieren. Gleiches gilt bei allen wesentlichen Änderungen an Datenverarbeitungsvorgängen oder -systemen.

Die Datenschutz-Folgenabschätzung ist Ausdruck des risikobasierten Ansatzes der DSGVO. Soweit hohe Risiken vorliegen, sollen diese mithilfe der DSFA frühzeitig erkannt werden, um sie durch geeignete Schutzmaßnahmen technischer und/oder organisatorischer Art von Anfang an eindämmen zu können.

Nützliche Hinweise zur Datenschutz-Folgenabschätzung

Die Grundlagen, was eine Datenschutz-Folgenabschätzung ist und wann und wie diese durchzuführen ist, haben wir in diesem Artikel beschrieben.

Weiterführende Hinweise geben insbesondere die Leitlinien zur Folgenabschätzung der Artikel-29-Datenschutzgruppe. Diese liegen mittlerweile in überarbeiteter Form vor und sind in vielen verschiedenen Sprachen verfügbar. Diese und andere wertvolle Informationen der Artikel-29-Datenschutzgruppe zur DSGVO finden Sie unter diesem Link.

Hilfreich ist auch das White Paper zum Thema „Datenschutz-Folgenabschätzung“ des „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ und die Hinweise der IHK. Daneben gibt es auch einen guten Leitfaden des Bitkom. Ausreichend Lesestoff ist also vorhanden.

Schlanker Prozess zur Durchführung

Für die Datenschutz-Folgenabschätzung muss ein Prozess geschaffen werden, um deren Durchführung bei Erforderlichkeit sicherzustellen. Die Vorschläge in der Literatur sind gut, schießen teilweise aber über das Ziel hinaus. Insbesondere kleine und mittlere Unternehmen werden wohl kaum ein „DSFA-Team“ zusammenstellen können. Mangels Ressourcen wird sich der Datenschutzbeauftragte (DSB) um das Wesentliche kümmern (müssen). Da scheitert man schon an Punkt 1 dieser Anleitung der DSK.

Soweit Sie sich ein einfaches Vorgehen wünschen, dass Sie als DSB gemeinsam mit ihren Fachbereichen umsetzen können, können Sie sich bei der Prüfung an folgendem Schema orientieren:

  1. Wurde ein neues Verfahren der Verarbeitung personenbezogener Daten implementiert oder ein bestehendes Verfahren wesentlich geändert?
    Wichtig ist bei diesem Schritt vor allem, dass der Datenschutzbeauftragte von der Änderung oder Neueinführung überhaupt Kenntnis erlangt. Dafür ist eine Sensibilisierung der Mitarbeiter essentiell. Diese kann beispielsweise über Informationen im Intranet und in Schulungen geschehen.
  2. Ist für die Verarbeitung ein Erlaubnistatbestand vorhanden und erfüllt, d.h. liegt eine wirksame Einwilligung oder sonstige Rechtsgrundlage vor?
    Dieser Punkt sollte ebenfalls frühzeitig geprüft werden. Soweit der Fachbereich nicht weiter weiß, kann der DSB unterstützen. Wenn es keinen Erlaubnistatbestand gibt, ist die Verarbeitung schlicht unzulässig. Eine Datenschutz-Folgenabschätzung ist dann nicht notwendig.
  3. Ist die Verarbeitung auf der Whitelist der Aufsichtsbehörden genannt? (künftig)
    Gemäß Art. 35 Abs. 5 DSGVO können die Aufsichtsbehörden eine Liste mit Datenverarbeitungsvorgängen erstellen, bei denen keine Datenschutz-Folgenabschätzung durchgeführt werden muss (sog. Whitelist). Eine gesetzliche Pflicht zur Erstellung der Whitelist besteht für die Aufsichtsbehörden leider nicht. Soweit sie dennoch eine Whitelist erstellen, kann an diesem Punkt künftig geprüft werden, ob der Verarbeitungsvorgang der Liste unterfällt. Eine Datenschutz-Folgenabschätzung ist dann nicht notwendig.
  4. Wurde bereits eine DSFA für einen ähnlichen Verarbeitungsvorgang mit einem ähnlich hohen Risiko durchgeführt?
    In diesem Fall kann gemäß Art. 35 Abs. 1 DSGVO eventuell auf eine weitere DSFA verzichtet werden. Der Verarbeitungsvorgang muss aber tatsächlich vergleichbar und mit ähnlich hohen Risiken behaftet sein. Dies ist durch den DSB zu prüfen und die Prüfung ist zu dokumentieren.
  5. Ist die Verarbeitung auf der Blacklist der Aufsichtsbehörden genannt? (künftig)
    Die Aufsichtsbehörden veröffentlichen gemäß Art. 35 Abs. 4 DSGVO eine Liste von Verarbeitungsvorgängen, für die eine Datenschutz-Folgenabschätzung verbindlich durchzuführen ist (sog. Blacklist). Anders als bei der Whitelist besteht für die Erstellung der Liste eine gesetzliche Pflicht. Ist der geplante Verarbeitungsvorgang in der Liste enthalten, ist eine DSFA durchzuführen. Leider ist derzeit noch nicht klar, wann die Aufsichtsbehörden die Blacklist veröffentlichen werden, ebenso, ob bzw. wann eine Whitelist veröffentlicht wird.
  6. Hat die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge?
    Bei der Risikobewertung kann sich an den oben genannten Leitfäden orientiert werden. Im ersten Schritt sollte geprüft werden, ob eines der Regelbeispiele des Art. 35 Abs. 3 DSGVO erfüllt ist. Ist das nicht der Fall, muss bewertet werden, ob ein Risiko vorliegt, das als hoch zu bewerten ist. Hierfür liefern auch die Erwägungsgründe 75, 89 und 91 wichtige Anhaltspunkte. Für die Risikobewertung im Einzelfall ist daneben Erwägungsgrund 76 zu beachten. Liegt ein voraussichtlich hohes Risiko vor, ist eine DSFA durchzuführen. Hinweise zu deren Pflichtinhalt und Gestaltung finden Sie ebenfalls in den oben genannten Quellen.

Mit kleinem Aufwand zum Erfolg

Datenschutzkonformes Handeln erfordert nicht zwingend eine große Menge an Ressourcen. Auf einen Prozessmanager, Riskmanager oder ein ganzes DSFA-Team können Sie jedenfalls in kleineren Unternehmen verzichten, wenn Sie entsprechend sensibilisierte Mitarbeiter an Ihrer Seite haben und sich als Datenschutzbeauftragter mit den vielen frei zugänglichen Fachinformationen stetig fortbilden. So gelingt auch Ihre erste Datenschutz-Folgenabschätzung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

4 Kommentare zu diesem Beitrag

  1. Es drängt sich die Frage auf, wie Unternehmen, die bereits über ein Risikomanagement (§ 91 II AktG), ein ITK-Risikomanagement (COBIT, ISO etc.) über ein Compliance Management oder ein Internes Kontrollsystem etc. verfügen, nun auch die Datenschutzfolgenabschätzung integrieren können, ohne dass dabei Redundanzen entstehen. Wenig effizient wäre es doch, wenn nun neben den bestehenden Risikomanagementprozessen ein zusätzlicher, eigenständiger Prozess eingeführt wird.
    Wenn das bereits bestehende Risikomanagement die Risiken für die persönlichen Rechte und Freiheiten betroffener Personen bisher nicht berücksichtigt hätte, wäre das allerdings ein Mangel, denn deren Verletzung kann letztlich auch zu einem erheblichen (Image-) Schaden für das Unternehmen führen. Man musste diese Risiken also doch eigentlich schon immer auch aus dem Blickwinkel des Betroffenen betrachten, um auch die möglichen Folgen für das Unternehmen bewerten zu können?
    Durch die DSGVO wird nun betont, dass die Risikoanalyse bereits in einem frühen Stadium, nämlich bei der Neueinführung von Verarbeitungsvorgängen erfolgen muss. Dies deckt sich aber mit der Anforderung an das Risikomanagement im Allgemeinen, dass Risiken frühzeitig erkannt und mimimiert werden müssen.
    Also was ist eigentlich neu?

    • Es spricht nichts dagegen, die Datenschutz-Folgenabschätzung in die in Ihrem Unternehmen bereits vorhandenen Risikomanagementprozesse zu integrieren. Wie Sie ganz richtig sagen, entsteht dadurch der Vorteil, das Risikomanagement möglichst effizient handhaben zu können. Sie müssen jedoch beachten, ob Sie die Datenschutzrisiken bereits ausreichend in der bisherigen Risikoanalyse berücksichtigt hatten und dies gegebenenfalls im Hinblick auf die DSGVO nachholen. Hinsichtlich der Gewährleistungsziele und Risikobewertung können Sie sich gut am SDM orientieren (https://www.datenschutzzentrum.de/sdm/).

  2. Hallo Dr. Datenschutz,
    ich hab einen Fall, da sind die Firmenautos mit GPS ausgestattet. Das gibt es da schon mehrere Jahre. Dort muss doch auch eine Datenschutzfolgeabschätzung durchgeführt werden oder? Und, wenn ich das richtig verstehe muss das die verantwortliche Stelle machen? Und was mir auch noch unklar ist, ob das von der Aufsichtsbehörde geprüft wird die Datenschutzfolgeabschätzung…
    Sorry für die vielen Fragen aber ich bin noch neu in dem Bereich.
    Grüße

    • Voraussichtlich ist im Falle des GPS Tracking eine Datenschutz-Folgenabschätzung durchzuführen. Die Beantwortung dieser Frage hängt auch immer vom Einzelfall ab.

      Verantwortlich für die Durchführung der Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 1 DSGVO der Verantwortliche. Nach Art. 35 Abs. 2 DSGVO hat der Verantwortliche bei der Durchführung der Datenschutz-Folgenabschätzung den Rat des DSB einzuholen. Im Rahmen der Datenschutz-Folgenabschätzung ist die Aufsichtsbehörde nur zu beteiligen, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (siehe Art. 36 DSGVO).

      Wir möchten in diesem Zusammenhang auch auf unsere weiteren Beiträge zur Datenschutz-Folgenabschätzung hinweisen: Datenschutz-Folgenabschätzung: Was ist das überhaupt? und Artikel-29-Datenschutzgruppe: Erster Entwurf für Leitlinien zur Folgenabschätzung.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.