Datenschutzfolgeabschätzung

Wozu dient eine Datenschutzfolgenabschätzung?

Die Datenschutz-Grundverordnung (DSGVO) regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein. Dies bedeutet: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sogenannte Datenschutz-Folgenabschätzung‎ (DSFA) vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Über das Instrumentarium der DSFA sollen Risiken beschrieben, bewertet und reduziert werden.
Lässt sich ein hohes oder sehr hohes Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren, ist für den Einsatz der Anwendung vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einzuholen.
Eine DSFA ist zu überprüfen und anzupassen, sollten neue Risiken hinzukommen, die bereits behandelte Risiken ändern oder wesentlich erschweren. Über Prüfroutinen kann sichergestellt werden, dass eine DSFA noch aktuell ist.

Behandlung bereits vorhandener Datenverarbeitungen

Für diese gibt es keinen Bestandsschutz, dass heißt eine DSFA ist durchzuführen, wenn die Voraussetzungen hierfür vorliegen oder neue Risiken zu einer entsprechenden Wertung führen. Gestützt auf Erwägungsgrund 171 der DS-GVO sehen die Leitlinien zu DSFA der Art.-29-Datenschutzgruppe (Stand: 4. Oktober 2017) vor, dass eine DSFA nicht durchzuführen ist, wenn eine Datenschutzaufsicht oder ein Datenschutzbeauftragter eine Datenverarbeitung im Wege einer sogenannten „Vorabkontrolle“ vorab geprüft hat. Derartige Prüfentscheidungen bleiben in Kraft, bis diese geändert, ersetzt oder aufgehoben sind.

Vorgehensweise zur Durchführung einer DSFA

Mindestinhalt einer Datenschutz-Folgenabschätzung

Diesen legt die DSGVO wie folgt fest
  1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
  2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
  3. Risikobewertung
  4. Geplante Abhilfemaßnahmen zur Bewältigung der Risiken
Verbleibt ein (sehr) hohes Restrisiko, bedeutet dies Folgendes:
  • Der Verantwortliche hat eine DSFA durchzuführen.
  • Ferner hat er vor einem Einsatz einer derartigen Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren und
  • deren Entscheidung (Einsatz nur nach Ergreifung weiterer Schutzmaßnahmen, Verbot der geplanten Verarbeitung) zu beachten.

Rolle des Datenschutzbeauftragten

Hat eine verantwortliche Stelle freiwillig oder aufgrund gesetzlicher Vorgabe einen betrieblichen Datenschutzbeauftragten bestellt, so legt die DSGVO bezogen auf DSFA Folgendes fest:
  • Die verantwortliche Stelle hat den Rat des Datenschutzbeauftragten einzuholen.
  • Zu den Aufgaben eines Datenschutzbeauftragten gehört auf Anfrage die Beratung im Zusammenhang mit der Durchführung einer DSFA und die Überwachung ihrer Durchführung.

Prozessschritte einer DSFA

  1. DSFA-Team erstellen
  2. Beurteilungsumfang festlegen (Beschreibung des Verarbeitungsvorgangs, inklusive der Datenflüsse und Zwecke der Verarbeitung in Abgrenzung zu ‎anderen (Geschäfts-)Prozessen
  3. Betroffene und Akteure identifizieren (Datenschutzbeauftragten, Betriebsrat und gegebenenfalls Betroffene einbinden)
  4. Prüfung der Notwendigkeit/Verhältnismäßigkeit bezogen auf den ‎Verarbeitungszweck
  5. Rechtsgrundlagen für die Verarbeitung prüfen und dokumentieren
  6. Risikoquellen identifizieren (Beweggründe, Ziele, Eintrittswahrscheinlichkeit
  7. Risikobewertung unter Berücksichtigung ‎möglicher physischer, materieller oder immaterieller Schäden, ‎deren Schwere sowie ‎Eintrittswahrscheinlichkeit
  8. Auswahl geeigneter Abhilfemaßnahmen, unter anderem ‎durch technische und organisatorische Maßnahmen (toMs)‎
  9. verbleibende Restrisiken eruieren und dokumentieren
  10. DSFA-Bericht erstellen
  11. Abhilfemaßnahmen umsetzen
  12. Abhilfemaßnahmen auf Wirksamkeit testen
  13.  Dokumentation des DSFA-Berichts (zum Beispiel im sogenannten Verzeichnis von Verarbeitungstätigkeiten) und ‎der Überprüfung der Wirksamkeit der Maßnahmen
  14. Freigabe der Verarbeitungsvorgänge
  15. DSFA fortschreiben bei Aktualisierungsbedarf.

Risikobewertung

Eine DSFA ist nur durchzuführen, wenn eine Risikobewertung ergibt, dass eine Datenverarbeitung ein hohes oder sehr hohes Risiko für die Betroffenen, deren Daten verarbeitet werden, zur Folge hat. Das Datenschutzrisiko für den Betroffenen, dessen Daten verarbeitet werden (nicht ein Schadensrisiko für das Unternehmen), ist anhand objektiver Kriterien (Art, Umfang, Umstände und Zwecke einer Verarbeitung) zu bestimmen
  • nach der Eintrittswahrscheinlichkeit (zu berücksichtigen ist hier auch die Risiko-Quelle, also der Angreifer und ein durch diesen zu verursachender Schaden)
  • nach der Schwere des Schadens
jeweils in einer Skalierung normal, hoch, sehr hoch.
Für mehrere ähnliche Verarbeitungsvorgänge (umfasst alle Daten, Systeme [Hard- und Software] und Prozesse) reicht eine Abschätzung, sofern diese ein ähnlich hohes Risiko haben.
Vorstufe einer Risikobewertung ist eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten (Kundendaten, Mitarbeiterdaten, Steuerdaten, Gesundheitsdaten etc.).
Beispiele für einen normalen (gering/niedrigen) Schutzbedarf:
Öffentliche Register, Anschrift, Kontaktdaten (gering)
Daten über Geschäfts- und Vertragsbeziehungen, Kontostände, Prüfungsergebnisse, Kreditauskünfte (mittel)
Beeinträchtigungen in diesem Bereich wären für Betroffene als tolerabel einzustufen. Ein möglicher Datenmissbrauch hätte nur geringfügige Auswirkungen (wirtschaftlich/gesellschaftspolitisch) für Betroffene.
Beispiele für einen hohen Schutzbedarf: Steuerdaten, strafbare Handlungen; Daten, die einem Berufs-, Geschäfts-, Fernmelde- oder Mandantengeheimnis unterliegen;
Personaldaten wie insbesondere Beurteilungen, berufliche Laufbahn, Angaben über Behinderung. Hohe Folgeschäden sind bei Veröffentlichung/Verfälschung dieser Daten zu befürchten. Hier wären sensible Daten beeinträchtigt. Ein möglicher Datenmissbrauch hätte erhebliche Auswirkungen (wirtschaftlich/gesellschaftspolitisch, gegebenenfalls Beeinträchtigung der persönlichen Unversehrtheit) für Betroffene.
Beeinträchtigungen von Daten mit sehr hohem Risiko wären für Betroffene als nicht tolerabel einzustufen. Zum Beispiel: Veröffentlichung von Adressen von polizeilichen V-Leuten, Adressen von Zeugen in bestimmten Strafverfahren.
Ein möglicher Datenmissbrauch bedeutet für Betroffene wirtschaftlichen/gesellschaftspolitischen Ruin oder beeinträchtigt die persönliche Unversehrtheit oder das Ansehen gravierend.

Verfahren zur Risikobestimmung

Hierfür gibt es keine einheitliche, gesetzlich vorgeschriebene Methode. Daher sollte eine Risikobestimmung nach einem gängigen Verfahren erfolgen wie beispielsweise nach dem Standard-Datenschutzmodell oder dem Muster einer Datenschutzaufsicht.
 Praxis-Tipps:
  • EU-weit anerkannte Vorgehensmodelle zur Risikobestimmung einsetzen.
  • Das verwendete Vorgehensmodell muss das Verfahren gut dokumentieren (wichtiges Kriterium für einen massenhaften Einsatz).
  • Maßnahmenkataloge (technisch-organisatorische Maßnahmen zur Verfügbarkeit, Vertraulichkeit, Integrität und Belastbarkeit) zur Behandlung von Risiken sollten gut dokumentiert und erprobt sein.
Jedoch gibt es einheitliche Kriterien für eine Risikobestimmung. Die Art. 29-Datenschutzgruppe hat in den Leitlinien zur DSFA Kriterien festgelegt, anhand deren geprüft werden sollte, ob eine DSFA durchgeführt werden muss. Dies soll umso wahrscheinlicher sein, wenn mindestens zwei und mehr der nachfolgenden und als besonders riskant eingestuften Kriterien erfüllt sind:
  • Scoring und Evaluierung, inklusive Profilbildung und Vorhersagen
  • Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung
  • Systematische Beobachtung (zum Beispiel von Arbeitsplätzen)
  • Sensible Daten
  • Datenverarbeitung in großem Umfang
  • Datensätze, die abgeglichen oder kombiniert werden
  • Daten von besonders schutzbedürftigen Personen (Beispiel: Arbeitnehmer, Kinder)
  • Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (z. B. eine Kombination aus Fingerabdruckscan und Gesichtserkennung)
  • Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen (Beispiel: Eine Bank verlangt die Durchleuchtung von Daten eines potenziellen Kreditkunden vor einer Entscheidung über einen Vertragsabschluss)

Schaden

Ein Mensch kann durch eine Datenverarbeitung physische, materielle und immaterielle Schäden erleiden. Bezogen auf die geplante Anwendung ist zu klären, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können.
Beispielhaft nennt die DSGVO hier
  • Diskriminierung
  • Identitätsdiebstahl
  • Rufschädigung
  • Finanzieller Verlust
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten

Risikominimierung

Wer personenbezogene Daten verarbeiten will, ist verpflichtet, im Verhältnis zum Risiko nach dem Stand der Technik angemessene (nicht: neueste und teuerste) Maßnahmen zum Schutz der Daten zu ergreifen, diese regelmäßig, bei Bedarf sogar unverzüglich zu überprüfen und erforderlichenfalls upzudaten. In der Regel handelt es sich um eine Kombination aus
  • organisatorischen Maßnahmen (zum Beispiel Datenschutzschulung von Mitarbeitern, interne Regelungen zum Datenschutz, Notfallkonzept) und
  • technischen Maßnahmen (zum Beispiel Einsatz von Firewall und Virenscanner und deren zeitgemäßer Update, Verschlüsselung von Daten).

Nachweise erbringen (Dokumentation!)

Die Durchführung einer DSFA ist eine gesetzliche Pflicht. Deren Einhaltung müssen verantwortliche Stellen nachweisen. Der Nachweis ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.
Zu dokumentieren sind:
  • die Durchführung und das Ergebnis einer Risikobewertung (normales, hohes, sehr hohes Risiko) und
  • eine daraus abzuleitende DSFA
Führen geeignete technische und/oder organisatorische Maßnahmen dazu, dass für die Daten Betroffener ein (sehr) hohes Risiko in ein normales Risiko reduziert werden kann, ist keine DSFA durchzuführen. So muss ein hoher Schutzbedarf (zum Beispiel biometrische Daten, Personalaktendaten) für sich allein nicht zwingend zu einem hohen Risiko führen, sondern nur dann, wenn gleichzeitig die Eintrittswahrscheinlichkeit für einen Vorfall hoch ist.
Datenschutzaufsichtsbehörden müssen eine sogenannte Blacklist veröffentlichen. Diese enthält Datenverarbeitungen, die aus Sicht der Datenschutzaufsicht generell ein hohes Risiko haben und daher stets (ohne weitere sonstige Prüfung) vor deren Einsatz eine Vorabkonsultation der Aufsicht erfordern. Datenschutzaufsichtsbehörden können (optional) eine Liste von Verarbeitungstätigkeiten (sogenannte Whitelist) veröffentlichen, die aus ihrer Sicht nie hochrisikobehaftet sind und damit keiner DSFA bedürfen. Offen ist, ob die Datenschutzaufsichtsbehörden von dieser gesetzlichen Möglichkeit Gebrauch machen werden.