Kriterien & Anforderungen an die Datenschutz-Folgen­abschätzung

Das Konzept der Datenschutz-Folgenabschätzung (DSFA) ist mit der Datenschutz-Grundverordnung (DSGVO) in das datenschutzrechtliche Instrumentarium aufgenommen worden. Mit ihr sollen vor allem Datenschutzrisiken, bei besonders datenschutzkritischen Verarbeitungsverfahren, identifiziert und bewertet werden, um diese schon im Vorfeld effektiv zu minimieren. Datenschutzbehörden können sie jederzeit anfragen. Eine Unterlassung einer verpflichtenden DSFA stellt einen Gesetzesverstoß dar, der zu Bußgeldern für den Verantwortlichen führen kann. Andererseits bietet sie auch eine gute Möglichkeit, Abläufe und Compliance im Unternehmen zu verbessern – es lohnt also, sich eingehender mit der DSFA zu beschäftigen.

Wann besteht eine Verpflichtung zur Datenschutz-Folgenabschätzung?

Besteht für die betroffenen Personen durch die Datenverarbeitungsvorgänge voraussichtlich ein hohes Risiko, besteht nach Art. 35 Abs. 1 DSGVO eine Pflicht zur Durchführung einer DSFA. Der Begriff des Risikos ist sehr weit gefasst und kann jegliche Risiken wirtschaftlicher oder gesellschaftlicher Art betreffen. Diese eigenverantwortliche Prognoseentscheidung des Verantwortlichen für die Zukunft ist jedoch gerichtlich voll überprüfbar. Für eine genauere Beurteilung im Einzelfall bestimmt Art. 35 Abs. 3 DSGVO konkrete Beispiele, in welchen Sachverhalten eine Pflicht zur Durchführung einer DSFA besteht. Dazu gehört zum einen die Bewertung persönlicher Aspekte von Personen auf der Grundlage automatisierter Datenverarbeitung wie Profiling, die als Grundlage für rechtlich relevante oder sonst erhebliche Entscheidungen dienen. Zweitens muss eine DSFA bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO wie z. B. Gesundheitsdaten oder von Daten über Strafdaten erfolgen – und schließlich bei einer systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche. Für Unternehmen gibt es auf der Grundlage des Art 35 Abs. 4 DSGVO weitere Orientierungsmöglichkeiten für die Entscheidung über die DSFA. Die Aufsichtsbehörden erstellen demnach eine Blacklist mit Verarbeitungsvorgängen, die eine DSFA erfordern. Zu diesen Vorgängen gehören aus der nicht abschließenden Liste der Datenschutzkonferenz (DSK) beispielsweise die folgenden Verarbeitungsvorgänge:

  • Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  • Biometrische oder genetische Daten
  • Daten unter dem Einsatz von Künstlicher Intelligenz oder Algorithmen
  • Daten mit Profilbildung, Scoring, der Bewertung der Persönlichkeit oder der Verhaltensanalyse von Mitarbeitern
  • Bei der Zusammenführung großer Datenmengen

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?

Eine DSFA gliedert sich in Anlehnung an Art. 35 Abs. 7 DSGVO in vier Teile. Nach einer systematischen Beschreibung der geplanten Datenverarbeitungsvorgänge sowie der Verarbeitungszwecke, sollte eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge vorgenommen werden. Darauf aufbauend schließt sich eine Risikoanalyse hinsichtlich der Rechte und Freiheiten der betroffenen Personen und die Festlegung passender Abhilfemaßnahmen in Form der technisch-organisatorischen Maßnahmen (TOM) an. Abgeschlossen wird die DSFA daraufhin mit einer Stellungnahme des Datenschutzbeauftragten, sofern ein solcher berufen worden ist.

1. Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke

Die Beschreibung der Verarbeitungsvorgänge beinhaltet eine möglichst genaue und umfassende Darstellung des Prozesses, der verarbeiteten Daten selbst sowie der betroffenen Personen bzw. Personengruppen. Wichtig ist auch, für jeden Datenverarbeitungsvorgang die Rechtsgrundlage zu nennen, die sich aus der DSGVO, dem BDSG oder passenden Spezialgesetzen ergeben kann. Mit in die Beschreibung gehören auch die Datenquellen und etwaige Datenempfänger wie involvierte Unternehmen oder Informationen zur Zusammenarbeit mit Dienstleistern oder anderen (Mit-)Verantwortlichen. Auch die Übermittlung von Daten in Drittländer sowie entsprechende Sicherheitsgarantien sollten dokumentiert werden. Schließlich müssen die Zwecke der Verarbeitung genau dargelegt werden.

2. Notwendigkeit und Verhältnismäßigkeit

Die Bewertung der Notwendigkeit und Verhältnismäßigkeit des Verfahrens erfolgt in mehreren Stufen. Zunächst muss geprüft werden, ob das Verfahren in der beabsichtigten Form notwendig und geeignet ist, um dem beabsichtigten Zweck zu dienen. Danach sollte die Frage nach der Erforderlichkeit des Verfahrens gestellt werden, d. h. ob es noch gleich geeignete, aber für die betroffenen Personen mildere und weniger eingriffsintensive Mittel gibt. Hier können bereits Maßnahmen wie Löschkonzepte genannt werden, die zur Verringerung der Eingriffsintensität getroffen wurden. Falls kein gleich geeignetes und milderes Mittel zur Erreichung der verfolgten Zwecke nicht ersichtlich ist, muss am Ende die Angemessenheit der Verarbeitungsvorgänge bewertet werden. Dazu sollten die Eingriffe in die Rechte der betroffenen Personen noch einmal mit den Verarbeitungszwecken abgewogen und somit überprüft werden, ob das Vorgehen insgesamt als verhältnismäßig angesehen werden kann.

3. Die Risikoanalyse

Die Risikoanalyse ist ein zentraler Bestandteil der DSFA und befasst sich mit den Risiken für die betroffenen Personen, die hier vollständig dargestellt werden müssen. Es ist empfehlenswert, sich für die Risikoanalyse am dem von der DSK veröffentlichte Standardschutzmodell zu orientieren. Dieses definiert acht Gewährleistungsziele, anhand derer die Verarbeitungsvorgänge auf ihr Risiko hin kontrolliert werden können:

  • Vertraulichkeit der Daten: Nur befugte Personen haben  Zugang zu den Daten
  • Integrität: Keine Veränderung der Daten
  • Datenverfügbarkeit
  • Belastbarkeit der technischen Systeme
  • Transparenz: Nachvollziehbarkeit der Datenverarbeitungen für den Verantwortlichen: Wer verarbeitet welche Daten zu welchem Zweck? Sind die Betroffenen umfangreich informiert?
  • Datenminimierung: Datenverarbeitung nur in dem Umfang, der für den Zweck erforderlich ist
  • Intervenierbarkeit: Betroffenenrechte müssen gewährleistet werden
  • Nichtverkettung: Keine Verknüpfung mit anderen Daten und keine Verwendung für andere Zwecke

Im Rahmen der DSFA kann beschrieben werden, inwieweit diese Gewährleistungsziele erreicht werden, woraufhin das Risiko anhand der Eintrittswahrscheinlichkeit von Schäden und ihrer Höhe für die betroffenen Personen ermittelt werden kann. Diese Risikobewertung sollte zunächst ohne die Berücksichtigung getroffener oder geplanter Abhilfemaßnahmen erfolgen, damit auf dieser Grundlage in einem zweiten Schritt angemessene und passende TOM benannt werden können. Nach deren Umsetzung sollte anhand einer Neubewertung das verbleibende Restrisiko eruiert und entschieden werden, ob im Falle eines hohen Rechtsrisikos die Datenschutzbehörde konsultiert werden muss.

Beispiele für Verfahren mit einer Datenschutz-Folgenabschätzung

Ein Beispiel für ein Verfahren mit DSFA ist die Praxis eines Unternehmens, auch außerhalb seiner Öffnungszeiten Videoaufzeichnungen zu erstellen, über eine unverschlüsselte WLAN-Verbindung zu übermitteln und die Aufnahmen für 14 Tage zu speichern. In die Risikobewertung fließen hier die Verletzung der Vertraulichkeit der Daten aufgrund der unverschlüsselten Datenübertragung sowie des Grundsatzes der Datenminimierung durch die zu lange Speicherdauer ein – Ergebnis ist ein hohes Risiko. Notwendige Maßnahmen sind die Verschlüsselung der WLAN-Übermittlung mit dem Einsatz von SSL/TLS. Für die Videoüberwachung nichtöffentlicher Stellen hat die DSK eine Orientierungshilfe veröffentlicht, aus der sich ergibt, dass die Speicherdauer der Aufnahmen auf die Höchstdauer von 72 Stunden reduziert werden sollte. Nach der Umsetzung dieser beiden Maßnahmen ergibt eine Neubewertung ein geringes Risiko. Die Datenschutzbehörde muss nicht konsultiert werden.

Ein anderes Beispiel ist das 360-Grad-Feedback für Führungskräfte, mit dem eine Bewertung der persönlichen Aspekte, der Zuverlässigkeit und des Verhaltens der Führungskraft durch Vorgesetzte, Teammitglieder und die Führungskraft selbst erfolgt. Es folgen Feedback- sowie Entwicklungsgespräche mit der Personalabteilung mit dem Ziel, einen Entwicklungsplan für die Führungskraft zu erstellen. Da sich die Bewertung am Arbeitsplatz in der Blacklist der DSK (Nr. 8) wieder findet und Arbeitnehmer aufgrund des bestehenden Ungleichgewichts im Beschäftigungsverhältnis als besonders schutzbedürftig angesehen werden (vgl. auch Erwägungsgrund 75 DSGVO), ist auch hier ein hohes Risiko anzunehmen, das mit entsprechenden Maßnahmen minimiert werden muss. Dafür sollte etwa das Ergebnis möglichst wenigen Personen zugänglich gemacht und die jeweiligen Informationen pseudonymisiert gespeichert werden. Daraus kann ein niedriges bis mittleres Risiko resultieren, das ebenfalls keine Konsultation der Behörde erforderlich macht.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Fazit

Auch wenn die verschiedenen Elemente einer Datenschutz-Folgenabschätzung auf den ersten Blick überschaubar wirken können, sollten Verantwortliche in der Praxis damit rechnen, dass sich die Umsetzung aufwändig gestalten kann. Mit der DSFA sollten Unternehmen sich aber unbedingt führzeitig beschäftigen und prüfen, ob eine Pflicht zur Durchführung besteht. Denn die zuständige Datenschutzbehörde hat nicht nur die Befugnis zur Überprüfung, sondern kann den vollen Rahmen der DSGVO-Bußgelder ausschöpfen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein sollen und für fehlende oder unzureichende Folgenabschätzungen bis 10 Mio. EUR oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (Art. 83 DSGVO) betragen können. Dessen ungeachtet ist die klare Empfehlung für Verantwortliche, die Vorteile einer DSFA zu nutzen. Nicht nur datenschutzrechtliche, auch anderweitige Probleme können im Rahmen der Erfassung und Bewertung der Verarbeitungsvorgänge identifiziert und behoben werden. Die Optimierung von Prozessen kann ebenfalls am Ende einer DSFA stehen. In jedem Fall steht die erfolgreiche Durchführung einer DSFA für hohe Compliance im Unternehmen.

Weitere interessante Beiträge zur DSFA

Die Datenschutz-Folgenabschätzung am Beispiel von Microsoft 365
Die Datenschutz-Folgen­abschätzung: Ein Muss im Gesundheits­wesen?

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.