- O1R6 Datenschutzfolgeabschätzung

IMS Services Datenschutz

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung (DSFA) ist grundsätzlich eigentlich nichts anderes, als die bisher im deutschen Datenschutzrecht schon bekannte Vorabkontrolle (§ 4d Abs. 5 BDSG).

Diese ist immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. In diesen Fällen prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Genau wie die Vorabkontrolle dient die Datenschutz-Folgenabschätzung also der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Wann ist eine DSFA vorzunehmen?

Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Darüber hinaus werden in Art. 35 Abs. 3 DSGVO Regelbeispiele genannt, bei denen eine Durchführungspflicht besteht:

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;

systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

Dies lässt im Vergleich zum BDSG einen größeren Anwendungsbereich für die Datenschutz-Folgenabschätzung erwarten, als dies noch für die Vorabkontrolle der Fall war. Durch den relativ offenen Tatbestand des Art. 35 Abs. 1 DSGVO wird aber auch Klärungsbedarf geschaffen, wann dieser denn nun genau erfüllt ist. Hier kommen die Aufsichtsbehörden ins Spiel. Diese müssen nämlich gemäß Art. 35 Abs. 4 DSGVO im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist. Art. 35 Abs. 5 DSGVO enthält zudem eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzungen durchgeführt werden müssen.

Wie ist eine DSFA durchzuführen?

Die DSGVO bestimmt in Art. 35 Abs. 7 Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Diese muss demnach enthalten:

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.

Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.

Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO)

Whitepaper zur DSFA

Die Grundverordnung kann nicht mehr leisten als die oben genannten allgemeine Vorgaben zu machen. Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden sollen bleibt weitgehend offen. Experten des interdisziplinären „Forum Privatheit und selbst bestimmtes Leben in der Digitalen Welt“ haben deshalb ein in einem Whitepaper vorgestelltes Konzept zur Umsetzung der DSFA vorgelegt, an dem Forscherinnen und Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) mitgewirkt haben. Beschrieben wird das Whitepaper durch das ULD folgendermaßen:

„Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ enthält grundlegende Informationen für alle, die aus jeweils unterschiedlicher Perspektive mit dem neuen Instrument zu tun haben werden: im politischen Entscheidungsprozess, in der Gesetzgebung, in der Technikgestaltung, in der Anwendungskonzeption und schließlich in der Prüfung der Datenverarbeitung. Das Dokument beschreibt ein Vorgehen anhand der Gewährleistungsziele für den Datenschutz, die auch den Prüfungen gemäß Standard-Datenschutzmodell zugrunde liegen.“

Fazit

Die besonders genaue Prüfung und Risikoabschätzung von Datenverarbeitungsvorgängen, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen ist notwendig und wichtig und bleibt auch in Zukunft erhalten.

Das kürzlich veröffentliche Whitepaper bietet zudem eine gute Grundlage für alle, die sich näher mit diesem Thema beschäftigen wollen oder müssen, um in diesem Bereich gerüstet für die Einführung der EU-Datenschutz-Grundverordnung zu sein.

Pflicht zur Vorgabe von Leitlinien

Nach Art. 35 Abs. 4 DSGVO sind die Aufsichtsbehörden verpflichtet, eine Liste der Verarbeitungsvorgänge, für die ihrer Ansicht nach eine Datenschutz-Folgenabschätzung durchzuführen ist, zu erstellen und zu veröffentlichen.

Dieser Verpflichtung ist nun die Artikel-29-Datenschutzgruppe nachgekommen, indem sie einen ersten Entwurf dazu veröffentlicht hat.

Die Artikel 29 Datenschutzgruppe ist ein aufgrund des Artikels 29 der Europäischen Datenschutzrichtlinie 95/46/EG gegründetes Beratungsgremium, dem die Datenschutzaufsichtsbehörden der EU und der Mitgliedstaaten, sowie ein Vertreter der Europäischen Kommission angehören.

Zehn Kriterien für die Risikobewertung

In dem nun vorliegenden ersten Entwurf legt das Gremium anhand von Ausführungen und Schemata dar, wann ihrer Ansicht nach zwangsläufig eine Folgenabschätzung durchgeführt werden muss. Dazu nennt die Gruppe zehn Kriterien, die für einen hohes Risiko für die Rechte und Freiheiten einer natürlichen Person sprechen:

1. Scoring / Profiling

2. Automatische-Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen

3. Systematische Überwachung

4. Sensible Daten (besondere personenbezogene Daten aus Art. 9 DSGVO)

5. Daten die in großem Umfang verarbeitet werden (Kriterium: Anzahl der Betroffenen, Menge der Daten etc.)

6. Zusammenführen/ kombinieren von Daten die durch unterschiedliche Prozesse gewonnen wurden

7. Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener

8. Einsatz neuer Technologien oder biometrischer Verfahren

9. Datentransfer in Länder außerhalb der EU/EWR

10. Die Datenverarbeitung hindert Betroffene an der Rechtsausübung

Wann muss eine Folgenabschätzung erfolgen?

Je mehr dieser Kriterien erfüllt sind, desto höher schätzt die Artikel-29-Datenschutzgruppe das Risiko für die Betroffenen ein und halt eine Folgenabschätzung für erforderlich.

Folgende Faustregel ist zu beachten:

Sind weniger als zwei der oben genannten Kriterien erfüllt, muss nicht unbedingt eine Folgenabschätzung erfolgen.

Dagegen ist eine Folgenabschätzung unter anderem dann nicht notwendig, wenn kein hohes Risiko für die Betroffenen besteht, oder eine Rechtsgrundlage für die Verarbeitung besteht und diese eine Folgenabschätzung als Voraussetzung ausdrücklich nicht nennt.

Außerdem werden im Entwurf auch Beispiele aus der Praxis genannt für die eine Folgenabschätzung durchgeführt werden muss. So sollen die Folgen und Risiken der Datenverarbeitung für Betroffene etwa im Rahmen von Mitarbeiterüberwachungsmaßnahmen, oder bei Informationsgewinnung von Social Media-Profilen abgewogen werden.

Die Artikel-29-Datenschutzgruppe stellt auch klar, dass in Zweifelsfällen, wenn eine Abgrenzung schwierig ist, immer eine Folgeabschätzung durchgeführt werden soll. Weiterhin soll eine Abschätzung spätestens nach 3 Jahren wiederholt werden.

Eine Datenschutz-Folgenabschätzung gemäß DSGVO Art. 35 Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

IMS Services hat in der Anlage eine entsprechende Vorgehensweise entwickelt die Ihnen die Umsetzung einer Risikobewertung (erster Schritt zur Bewertung zur Verpflichtungen einer DSFA) und später einer möglichen Datenschutzfolgeabschätzung (DSFA) vereinfacht.

Bericht zur Datenschutzfolgeabschätzung

Die Ergebnisse einer Datenschutz-Folgenabschätzung sollten in der Organisation veröffentlicht werden, es sei denn es bestehen rechtliche Restriktionen diesbezüglich. Die Veröffentlichung kann beispielsweise über die eigene Webseite erfolgen. Essenzielle Bestandteile des Berichts sind:

Datum und Version des Berichts
Eindeutige Bezeichnung des Projekts sowie die verantwortlichen Personen der Datenschutz-Folgenabschätzung einschließlich ihrer Kontaktdaten

Wesentliche Ergebnisse der Datenschutz-Folgenabschätzung

Allgemeine Beschreibung der zugrunde gelegten Prüftechnik

Ergebnis der Analyse der Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung einschließlich einer Begründung

Allgemeine Beschreibung des Projekts (es könnten weitere relevante Dokumente des Projekts beigefügt werden)

Detaillierte Beschreibung der Datenflüsse

Identifizierte Risiken
Identifikation der Stakeholder oder der vom Projekt Betroffenen (intern sowie extern) und die Ergebnisse der Konsultationen dieser Personengruppen

Analyse der Einhaltung der gesetzlichen Bestimmungen sowie identifizierte Abweichungen und Lösungsvorschläge

Der finale Bericht muss der Geschäftsleitung der Organisation zur Verfügung gestellt werden, damit sie die notwendigen Entscheidungen hinsichtlich der bestehenden Empfehlungen sowie der vorgeschlagenen Maßnahmen trifft. Hintergrund der Vorlage ist, dass die Geschäftsleitung letztlich die Entscheidung hinsichtlich der einzuleitenden Maßnahmen trifft.

Anlagen:

Kontaktformular

Suche

Externe Inhalte