Datenschutz-Folgenabschätzung

Leistungen

Risikoorientierter Datenschutz: Die Bedeutung der DSFA

Die Datenschutz-Folgenabschätzung (DSFA) ist wichtiger Bestandteil des risikoorientierten Ansatzes im Datenschutz und gem. Art. 35 DS-GVO erforderlich, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Ziele einer DSFA sind die Identifikation und Bewertung von Risiken für betroffene Personen und die Ableitung zusätzlicher technischer und organisatorischer Maßnahmen zur Risikoreduktion. Sollte nach Abschluss der DSFA immer noch ein hohes Risiko für die Betroffenen bestehen, muss die Aufsichtsbehörde konsultiert werden.

Für viele Unternehmen ist es schwer einzuschätzen, wann eine DSFA erforderlich ist und wie diese ressourcenschonend umgesetzt werden kann.

Folgende Aspekte weisen auf die Notwendigkeit einer DSFA hin:

• Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, z. B. Auswertung von GPS-Ortungsdaten der Beschäftigten in Fahrzeugen
• Sensible Daten werden umfangreich verarbeitet, z. B. Betrieb eines Patienteninformationssystems
• Öffentlich zugängliche Bereiche werden systematisch und umfangreich überwacht, z. B. Videoüberwachung mit Bewegungstracking im Einzelhandel

Darüber hinaus benennen sogenannte “Black- und Whitelists” der zuständigen Aufsichtsbehörden weitere Verarbeitungssituationen, in denen eine DSFA durchgeführt werden muss oder entfallen kann.

Die Herausforderung strukturiert angehen

Grundsätzlich ist die DSFA vor der Aufnahme der Verarbeitung durchzuführen und zu dokumentieren. Zwar bestehen keine rechtlichen Vorgaben an Form und Struktur der DSFA, allerdings sind die in Art. 35 DS-GVO geforderten Aspekte mindestens abzubilden. Es gibt verschiedene Vorgehensmodelle zur Durchführung einer DSFA, z.B. das Privacy Impact Assessment (PIA) gem. ISO 29134 oder das Standard-Datenschutzmodell (SDM), die zur Orientierung dienen.

In der Praxis hat sich folgendes Vorgehen zur Durchführung einer DSFA etabliert:

• Festlegung des DSFA-Teams, z. B. aus Fachabteilung, IT und Datenschutzbeauftragten
• Beschreibung des Kontexts der Verarbeitungstätigkeit, z. B. eingesetzte Auftragsverarbeiter, notwendige Betriebsmittel, berechtigte Interessen und einflussnehmende Gesetze, Normen und Standards
• Einbeziehung betroffener Personen, z. B. durch Stellungnahmen des Betriebsrates
• Prüfung der Einhaltung von Datenschutzgrundsätzen und Betroffenenrechten
• Risikobewertung aus Sicht der Betroffenen, z. B. unberechtigter Zugriff auf personenbezogene Daten und die bereits umgesetzten Gegenmaßnahmen
• Risikobehandlung und erneute Risikobewertung nach Umsetzung zusätzlicher Maßnahmen
• Rat des Datenschutzbeauftragten, ob dieser aus seiner Sicht das Risiko für vertretbar hält oder weitere Maßnahmen als erforderlich betrachtet
• Freigabe durch den Verantwortlichen, z. B. durch eine Stellungnahme der Geschäftsführung

Idealerweise wird die DSFA so lange im Unternehmen durchgeführt, bis alle beteiligten Gruppen von einem vertretbaren Restrisiko ausgehen können und somit eine Konsultation der Aufsichtsbehörde vermieden werden kann.