Die Datenschutz-Folgenabschätzung (DSFA) wird ab Mai 2018 die Vorabkontrolle des BDSG ersetzen. Damit die DSFA ihren Zweck erfüllen kann, muss für ihre Vorbereitung und Durchführung ein geordneter Prozess im Unternehmen geschaffen werden. Einen Vorschlag, wie Sie diesen möglichst einfach gestalten können, stellen wir heute vor.
Der Inhalt im Überblick
Zweck der DSFA
Die DSFA nach Art. 35 DSGVO dient dem Zweck, bereits in einem frühen Stadium bei der Neueinführung von Verarbeitungsvorgängen die voraussichtlichen Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zu identifizieren. Gleiches gilt bei allen wesentlichen Änderungen an Datenverarbeitungsvorgängen oder -systemen.
Die Datenschutz-Folgenabschätzung ist Ausdruck des risikobasierten Ansatzes der DSGVO. Soweit hohe Risiken vorliegen, sollen diese mithilfe der DSFA frühzeitig erkannt werden, um sie durch geeignete Schutzmaßnahmen technischer und/oder organisatorischer Art von Anfang an eindämmen zu können.
Nützliche Hinweise zur Datenschutz-Folgenabschätzung
Die Grundlagen, was eine Datenschutz-Folgenabschätzung ist und wann und wie diese durchzuführen ist, haben wir in diesem Artikel beschrieben.
Weiterführende Hinweise geben insbesondere die Leitlinien zur Folgenabschätzung der Artikel-29-Datenschutzgruppe. Diese liegen mittlerweile in überarbeiteter Form vor und sind in vielen verschiedenen Sprachen verfügbar. Diese und andere wertvolle Informationen der Artikel-29-Datenschutzgruppe zur DSGVO finden Sie unter diesem Link.
Hilfreich ist auch das White Paper zum Thema „Datenschutz-Folgenabschätzung“ des „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ und die Hinweise der IHK. Daneben gibt es auch einen guten Leitfaden des Bitkom. Ausreichend Lesestoff ist also vorhanden.
Schlanker Prozess zur Durchführung
Für die Datenschutz-Folgenabschätzung muss ein Prozess geschaffen werden, um deren Durchführung bei Erforderlichkeit sicherzustellen. Die Vorschläge in der Literatur sind gut, schießen teilweise aber über das Ziel hinaus. Insbesondere kleine und mittlere Unternehmen werden wohl kaum ein „DSFA-Team“ zusammenstellen können. Mangels Ressourcen wird sich der Datenschutzbeauftragte (DSB) um das Wesentliche kümmern (müssen). Da scheitert man schon an Punkt 1 dieser Anleitung der DSK.
Soweit Sie sich ein einfaches Vorgehen wünschen, dass Sie als DSB gemeinsam mit ihren Fachbereichen umsetzen können, können Sie sich bei der Prüfung an folgendem Schema orientieren:
- Wurde ein neues Verfahren der Verarbeitung personenbezogener Daten implementiert oder ein bestehendes Verfahren wesentlich geändert?
Wichtig ist bei diesem Schritt vor allem, dass der Datenschutzbeauftragte von der Änderung oder Neueinführung überhaupt Kenntnis erlangt. Dafür ist eine Sensibilisierung der Mitarbeiter essentiell. Diese kann beispielsweise über Informationen im Intranet und in Schulungen geschehen. - Ist für die Verarbeitung ein Erlaubnistatbestand vorhanden und erfüllt, d.h. liegt eine wirksame Einwilligung oder sonstige Rechtsgrundlage vor?
Dieser Punkt sollte ebenfalls frühzeitig geprüft werden. Soweit der Fachbereich nicht weiter weiß, kann der DSB unterstützen. Wenn es keinen Erlaubnistatbestand gibt, ist die Verarbeitung schlicht unzulässig. Eine Datenschutz-Folgenabschätzung ist dann nicht notwendig. - Ist die Verarbeitung auf der Whitelist der Aufsichtsbehörden genannt? (künftig)
Gemäß Art. 35 Abs. 5 DSGVO können die Aufsichtsbehörden eine Liste mit Datenverarbeitungsvorgängen erstellen, bei denen keine Datenschutz-Folgenabschätzung durchgeführt werden muss (sog. Whitelist). Eine gesetzliche Pflicht zur Erstellung der Whitelist besteht für die Aufsichtsbehörden leider nicht. Soweit sie dennoch eine Whitelist erstellen, kann an diesem Punkt künftig geprüft werden, ob der Verarbeitungsvorgang der Liste unterfällt. Eine Datenschutz-Folgenabschätzung ist dann nicht notwendig. - Wurde bereits eine DSFA für einen ähnlichen Verarbeitungsvorgang mit einem ähnlich hohen Risiko durchgeführt?
In diesem Fall kann gemäß Art. 35 Abs. 1 DSGVO eventuell auf eine weitere DSFA verzichtet werden. Der Verarbeitungsvorgang muss aber tatsächlich vergleichbar und mit ähnlich hohen Risiken behaftet sein. Dies ist durch den DSB zu prüfen und die Prüfung ist zu dokumentieren. - Ist die Verarbeitung auf der Blacklist der Aufsichtsbehörden genannt? (künftig)
Die Aufsichtsbehörden veröffentlichen gemäß Art. 35 Abs. 4 DSGVO eine Liste von Verarbeitungsvorgängen, für die eine Datenschutz-Folgenabschätzung verbindlich durchzuführen ist (sog. Blacklist). Anders als bei der Whitelist besteht für die Erstellung der Liste eine gesetzliche Pflicht. Ist der geplante Verarbeitungsvorgang in der Liste enthalten, ist eine DSFA durchzuführen. Leider ist derzeit noch nicht klar, wann die Aufsichtsbehörden die Blacklist veröffentlichen werden, ebenso, ob bzw. wann eine Whitelist veröffentlicht wird. - Hat die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge?
Bei der Risikobewertung kann sich an den oben genannten Leitfäden orientiert werden. Im ersten Schritt sollte geprüft werden, ob eines der Regelbeispiele des Art. 35 Abs. 3 DSGVO erfüllt ist. Ist das nicht der Fall, muss bewertet werden, ob ein Risiko vorliegt, das als hoch zu bewerten ist. Hierfür liefern auch die Erwägungsgründe 75, 89 und 91 wichtige Anhaltspunkte. Für die Risikobewertung im Einzelfall ist daneben Erwägungsgrund 76 zu beachten. Liegt ein voraussichtlich hohes Risiko vor, ist eine DSFA durchzuführen. Hinweise zu deren Pflichtinhalt und Gestaltung finden Sie ebenfalls in den oben genannten Quellen.
Mit kleinem Aufwand zum Erfolg
Datenschutzkonformes Handeln erfordert nicht zwingend eine große Menge an Ressourcen. Auf einen Prozessmanager, Riskmanager oder ein ganzes DSFA-Team können Sie jedenfalls in kleineren Unternehmen verzichten, wenn Sie entsprechend sensibilisierte Mitarbeiter an Ihrer Seite haben und sich als Datenschutzbeauftragter mit den vielen frei zugänglichen Fachinformationen stetig fortbilden. So gelingt auch Ihre erste Datenschutz-Folgenabschätzung.
Es drängt sich die Frage auf, wie Unternehmen, die bereits über ein Risikomanagement (§ 91 II AktG), ein ITK-Risikomanagement (COBIT, ISO etc.) über ein Compliance Management oder ein Internes Kontrollsystem etc. verfügen, nun auch die Datenschutzfolgenabschätzung integrieren können, ohne dass dabei Redundanzen entstehen. Wenig effizient wäre es doch, wenn nun neben den bestehenden Risikomanagementprozessen ein zusätzlicher, eigenständiger Prozess eingeführt wird.
Wenn das bereits bestehende Risikomanagement die Risiken für die persönlichen Rechte und Freiheiten betroffener Personen bisher nicht berücksichtigt hätte, wäre das allerdings ein Mangel, denn deren Verletzung kann letztlich auch zu einem erheblichen (Image-) Schaden für das Unternehmen führen. Man musste diese Risiken also doch eigentlich schon immer auch aus dem Blickwinkel des Betroffenen betrachten, um auch die möglichen Folgen für das Unternehmen bewerten zu können?
Durch die DSGVO wird nun betont, dass die Risikoanalyse bereits in einem frühen Stadium, nämlich bei der Neueinführung von Verarbeitungsvorgängen erfolgen muss. Dies deckt sich aber mit der Anforderung an das Risikomanagement im Allgemeinen, dass Risiken frühzeitig erkannt und mimimiert werden müssen.
Also was ist eigentlich neu?
Es spricht nichts dagegen, die Datenschutz-Folgenabschätzung in die in Ihrem Unternehmen bereits vorhandenen Risikomanagementprozesse zu integrieren. Wie Sie ganz richtig sagen, entsteht dadurch der Vorteil, das Risikomanagement möglichst effizient handhaben zu können. Sie müssen jedoch beachten, ob Sie die Datenschutzrisiken bereits ausreichend in der bisherigen Risikoanalyse berücksichtigt hatten und dies gegebenenfalls im Hinblick auf die DSGVO nachholen. Hinsichtlich der Gewährleistungsziele und Risikobewertung können Sie sich gut am SDM orientieren (https://www.datenschutzzentrum.de/sdm/).
Hallo Dr. Datenschutz,
ich hab einen Fall, da sind die Firmenautos mit GPS ausgestattet. Das gibt es da schon mehrere Jahre. Dort muss doch auch eine Datenschutzfolgeabschätzung durchgeführt werden oder? Und, wenn ich das richtig verstehe muss das die verantwortliche Stelle machen? Und was mir auch noch unklar ist, ob das von der Aufsichtsbehörde geprüft wird die Datenschutzfolgeabschätzung…
Sorry für die vielen Fragen aber ich bin noch neu in dem Bereich.
Grüße
Voraussichtlich ist im Falle des GPS Tracking eine Datenschutz-Folgenabschätzung durchzuführen. Die Beantwortung dieser Frage hängt auch immer vom Einzelfall ab.
Verantwortlich für die Durchführung der Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 1 DSGVO der Verantwortliche. Nach Art. 35 Abs. 2 DSGVO hat der Verantwortliche bei der Durchführung der Datenschutz-Folgenabschätzung den Rat des DSB einzuholen. Im Rahmen der Datenschutz-Folgenabschätzung ist die Aufsichtsbehörde nur zu beteiligen, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (siehe Art. 36 DSGVO).
Wir möchten in diesem Zusammenhang auch auf unsere weiteren Beiträge zur Datenschutz-Folgenabschätzung hinweisen: Datenschutz-Folgenabschätzung: Was ist das überhaupt? und Artikel-29-Datenschutzgruppe: Erster Entwurf für Leitlinien zur Folgenabschätzung.
Hallo Dr. Datenschutz! Eine Frage, die sich mir bzgl. der DSFA aufdrängt: Kann man bspw. als Kunde oder Mandant die Herausgabe der DSFA oder Einsicht in diese Verlangen? Teilweise sind hier doch sehr viele potentielle Fallstricke drin, die ein Unternehmen nicht unbedingt kund tun möchte. Vielen Dank!
Der Auskunftsanspruch nach Art. 15 DSGVO bezieht sich auf die personenbezogenen Daten der betroffenen Person, nicht auf Prozesse des Verantwortlichen. Die Datenschutz-Folgenabschätzung soll dem Verantwortlichen helfen, voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen vorherzusehen und mit entsprechenden Maßnahmen gegenzusteuern. Ein Kontrollrecht fällt in diesem Bereich den Aufsichtsbehörden zu, nicht einzelnen Personen.
Hallo,
ich bin Geschäftsführer einer kleinen Dienstleistungsfirma. Aktuell beschäftige ich mich mit der Prüfung, ob für unsere Tätigkeiten und Verarbeitungsprozesse eine DS-FA durchzuführen ist. Der Punkt, an dem ich dabei nicht wirklich weiterkomme ist, dass mir nicht ganz klar ist wie ausführlich diese Prüfung dokumentiert werden muss. Die Prüfschritte selbst sind mir bewusst und auch bekannt. Können Sie mir vielleicht an Hand eines Beispiels einen Eindruck vermitteln wie detailliert die Prüfung und das Ergebnis dokumentiert werden muss? Ich gehe davon aus, dass es nicht ausreichend sein wird, in der Dokumentation zu schreiben: „Die Verarbeitung ist nach Art. 6 DS-GVO rechtmäßig, da Art. 6 lit. a) und b) erfüllt sind. Da hier weder eine Fallgruppe des Art. 35 Abs. 3 lit. a) – c) DS-GVO erfüllt ist und die Verarbeitung voraussichtlich auch nicht zu einem hohen Risiko gemäß Art. 35 Abs. 1 DS-GVO (WP 248 der Artikel-29-Datenschutzgruppe) führt, besteht kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen.“
Vielen Dank für Ihre Hilfen und Mühen
Vielen Dank für diese durchaus praxisrelevante Nachfrage. Der erforderliche Umfang der Dokumentation richtet sich im Wesentlichen nach der konkret geprüften Verarbeitungstätigkeit. Die DSGVO trifft keine Aussage über die einer DSFA vorausgehende Prüfung, sondern legt diese Entscheidung in Art. 35 Abs. 2 und Art. 39 Abs. 1 lit. c DSGVO in die Hände der verantwortlichen Stelle, welche ggf. durch den Datenschutzbeauftragten hierbei beraten wird.
Da der Grad der Dokumentation durchaus sehr unterschiedlich ausfallen kann und über diesen Blog eine Rechtsberatung nicht möglich ist, kann eine pauschale Beantwortung hier leider nicht erfolgen. Zu empfehlen ist aber beispielsweise die entsprechende Praxishilfe des GDD e.V., welche auf Seite 6 ein schrittweises Prüfschema enthält, an welchem Sie sich grundsätzlich gut entlangarbeiten können.