Datenschutz-Folgenabschätzung
Die Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 Datenschutz-Grundverordnung (DSGVO) ist eine frühzeitige Risikoanalyse des angestrebten Prozesses mit seinen Verarbeitungsvorgängen. Die Prognose ist jedoch aus der Betroffenensicht durchzuführen und nicht aus der Risikosicht des Verantwortlichen. Daher kann auch nicht, wie im IT-Sicherheitsmanagement möglich, ein Risiko für die Betroffenen durch den Verantwortlichen je nach Risikoappetit im Rahmen der Risikobehandlung übernommen oder auf Dritte verlagert werden.
Dabei ergibt sich die Perspektive der Betroffenensicht bereits aus Art. 35 Abs. 1 Satz 1 DSGVO für die durchzuführende vorgelagerte Schwellenprüfung zur Erforderlichkeit einer DSFA, in welcher ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen als Folge der Verarbeitung personenbezogener Daten gefordert wird. Sie folgt aber auch aus Art. 35 Abs. 7 Buchst. c und Buchst. d DSGVO für die nachgelagerte und von der Schwellenwertprüfung abzugrenzenden DSFA, bei der in zwei von vier Mindestinhaltspunkten einer DSFA eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen natürlichen Personen sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt wird, konkret benannt werden. Art. 35 Abs. 7 Buchst. d DSGVO spricht im Übrigen klar von einer Bewältigung der Risiken.
Schwellenwertprüfung zur Erforderlichkeit einer DSFA
Der Gesetzgeber hat in Art. 35 Abs. 3 DSGVO eine nicht abschließende Aufzählung von Verarbeitungsvorgängen mit zwingender Pflicht zur Durchführung einer DSFA vorgenommen. Soweit eine Verarbeitung hierunter fällt, ist eine Schwellenwertprüfung nicht mehr erforderlich, sondern die DSFA zwingend durchzuführen. Die Sächsische Datenschutz- und Transparenzbeauftragte veröffentlicht hierzu eine Muss-Liste auf ihrer Website, welche aber ebenfalls nicht abschließend ist. Die Schwellenwertprüfung wird in dem Erwägungsgrund 84 Satz 1 zur DSGVO dahingehend erläutert, dass schon ein wahrscheinlich hohes Risiko der Verarbeitungsvorgänge für die Rechte und Freiheiten natürlicher Personen ausreicht, um eine DSFA erforderlich zu machen. Die eigene Schwellenwertprüfung der Verarbeitungsvorgänge erfolgt dabei ohne Berücksichtigung von technischen und organisatorischen Maßnahmen. Sie ist ergebnisunabhängig zu dokumentieren. Als Hilfsmittel empfiehlt sich die Heranziehung der Leitlinien der Artikel-29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (DSFA) und die Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“.
Hier wird auf den Seiten 9ff. erläutert, wann eine DSFA verpflichtend ist und wann auf eine DSFA verzichtet werden kann. Der Europäische Datenschutzausschuss (Nachfolger der Artikel-29-Datenschutzgruppe) hat diese Leitlinien gebilligt.
DSFA vor dem Einsatz der Verarbeitungsvorgänge
Häufig mangelt es in der vorab durchzuführenden DSFA schon an einer vollständigen systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen, wie es Art. 35 Abs. 7 Buchst. a DSGVO als ersten Schritt der Risikoanalyse fordert.
Die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, als zweiter Schritt der Analyse gemäß Art. 35 Abs. 7 Buchst. b), wird regelmäßig nicht lückenlos dargestellt.
Im dritten erforderlichen Schritt der Risikobewertung gemäß Art. 35 Abs. 7 Buchst. c DSGVO werden mögliche Risiken für Betroffene hinsichtlich der Schwere und der Eintrittswahrscheinlichkeit oft nicht in der Gesamtheit erfasst, oder sie werden vielfach wieder aus der hier unzulässigen Sicht des Verantwortlichen heraus bewertet, obwohl sich diese Risiken im Wesentlichen anhand der Beschreibung im Erwägungsgrund 75 zur DSGVO entnehmen lassen.
Oftmals endet die Analyse in den DSFA mit diesem dritten Schritt, oder er wird mit den geplanten Abhilfemaßnahmen (technische und organisatorischen Maßnahmen) bereits vermengt. Dies führt zu einer Verkürzung der Analyse (Mindestanforderung), da der vierte Schritt gemäß Art. 35 Abs. 7 Buchst. d DSGVO die Auflösung bringen soll, ob es dem Verantwortlichen durch geplante Abhilfemaßnahmen gelingt, die im dritten Schritt identifizierten Risiken tatsächlich zu bewältigen.
Streng genommen wäre dieser vierte Schritt also aufzuteilen in a) Dokumentation der geplanten Abhilfemaßnahmen, b) erneute Risikoanalyse unter Berücksichtigung der geplanten Abhilfemaßnahmen und c) Ergebnis. Im Idealfall kommt das Ergebnis zu einem angemessenen Datenschutzniveau sowie dem Nachweis, dass die Verarbeitungsvorgänge die Anforderungen der DSGVO einhalten.
Was ist zu tun?
Die Schwellenwertprüfung und die eventuell nachfolgende DSFA ist aus der Betroffenensicht heraus durchzuführen und nicht aus der Risikosicht des Verantwortlichen. Ein identifiziertes Risiko ist einzudämmen.
Quelle: SDTB Sachsen
Fragen Sie sich, ob Sie als Unternehmen bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks