Risikomanagement im Datenschutz oder „Was genau ist eigentlich eine Datenschutz-Folgenabschätzung?“
Haben Sie ein Unternehmen gegründet und wollen sich an die Datenschutzgrundverordnung anpassen? Oder führen Sie bereits ein Unternehmen, das bereits gut an die europäischen Regelungen angepasst ist, wollen nun aber eine neue Form der Datenverarbeitung einführen? Dann könnte Ihnen der Begriff der Datenschutz-Folgenabschätzung begegnen. Doch was meint dieser etwas sperrig klingende Begriff und wann ist dieses Verfahren nötig?
Die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung (kurz DSGVO) verlangt von einem Unternehmen in allen Bereichen, in denen es mit personenbezogenen Daten umgeht Konformität und Rechtfertigung für die Verarbeitung.
Meist wird diese Forderung durch das Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten bereits erfüllt. Doch in einigen Fällen genügt dies nicht, denn für gewisse Verarbeitungen sieht die DSGVO ein viel umfassenderes Verfahren vor, um die Risiken für die betroffenen Personen zu verringern.
Die sogenannte Datenschutz-Folgenabschätzung (DSFA) übernimmt in Sachen Datenschutz die Rolle des Risikomanagements. Die DSGVO beschreibt in Artikel 35, Absatz 1 die Fälle, in denen eine Datenschutz-Folgenabschätzung vorgenommen werden sollte wie folgt:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“
(DSGVO, Art. 35, Abs. 1)
Konkret bedeutet das, dass ein Unternehmen oder eine Organisation, bevor sie mit einer Verarbeitung beginnt, die potentiell die Rechte und Freiheiten der Personen, deren Daten verarbeitet werden, gefährdet, vorher genau diese Gefahren genauer betrachten muss. So ein Fall kann vorliegen, wenn beispielsweise besonders große Datenmengen verarbeitet, oder neue Technologien eingesetzt werden. Konkret bedeutet das, dass die möglichen Folgen, die die Verarbeitung der Daten für die Personen haben könnte, untersucht werden. Dabei wird versucht, Risikoquellen ausfindig zu machen und sie dann zu verringern, oder sogar auszuschließen. Da dies ein sehr aufwendiger Vorgang ist, der viel Überlegung und Zeit erfordert, schreibt die DSGVO es nur für bestimmte Verarbeitungen zwingend vor. Zu diesen zählen Fälle, in denen:
- Die persönlichen Eigenschaften einer Person systematisch in großem Umfang durch ein automatisiertes Verfahren zur Profilerstellung bewertet werden und die so erhaltenen Daten die Grundlage für Entscheidungen darstellt, die rechtliche Konsequenzen für die Person haben können oder sie ähnlich stark einschränken können,
- Besondere Arten von Daten, wie beispielsweise Gesundheitsdaten oder Daten zu Straftaten oder Verurteilungen vor Gericht in großem Umfang verarbeitet werden,
- Öffentlich zugängliche Bereiche wie Parks, Straßen oder Einkaufszentren systematisch und umfangreich überwacht werden.
Natürlich kann auch der Verantwortliche selbst entscheiden, dass er das Risiko für die von der Verarbeitung betroffenen Personen als erhöht einschätzt und eine solche Folgenabschätzung für angebracht hält.
Ist erst einmal die Entscheidung gefallen, dass eine Datenschutz-Folgenabschätzung nötig ist, können verschiedene Verfahren angewandt werden. Die DSGVO schreibt hierbei, auf Grund Individualität einer jeden einzelnen Datenschutz-Folgenabschätzung, nicht die Nutzung eines bestimmten Formats oder einer bestimmten Software vor und setzt auch kein festgelegtes Verfahren vor. Sie formuliert ausschließlich folgende Mindestforderungen für den Inhalt der Datenschutz-Folgenabschätzung:
- Eine strukturierte und klare Beschreibung der geplanten Verarbeitungen und der Zwecke, denen sie dienen, wobei eventuell die vom Verantwortlichen verfolgten Interessen dargelegt werden;
- Eine Bewertung der Notwendigkeit und der Angemessenheit (im Original steht Verhältnismäßigkeit) der Verarbeitung in Bezug auf ihren Zweck;
- Die geplanten Maßnahmen zur Verringerung oder zum Ausschluss der Risiken, inklusive der Garantien, Sicherheitsmaßnahmen und Verfahren, die den Schutz der personenbezogenen Daten sicherstellen und nachweisen, dass die DSGVO eingehalten und die Rechte der betroffenen Personen und aller anderen Personen berücksichtigt werden.
Diese Vorgaben sorgen dafür, dass es eine Vielzahl von Verfahren gibt, um eine solche Datenschutz-Folgenabschätzung vorzunehmen. So stellen die deutschen Datenschutzaufsichtsbehörden Leitlinien und Fallbeispiele zur Verfügung, um die manuelle Erstellung einer DSFA zu erleichtern, dabei stechen unter anderem die Behörden Bayerns, Schleswig-Holsteins und Berlins hervor. Sie stellen relativ detaillierte Leitfäden bereit, um eine Datenschutz-Folgenabschätzung vorzunehmen. Da die DSFA aber auch mit diesen Hilfestellungen eine aufwendige Angelegenheit bleibt, verweisen deutsche Behörden immer öfter auf eine Software der französischen zentralen Aufsichtsbehörde für Datenschutz, der CNIL. Diese Software steht auf der Webseite der CNIL kostenlos zum Download zur Verfügung und soll die Durchführung der Datenschutz-Folgenabschätzung erleichtern, indem die Ergebnisse der Risikoabschätzung einfach nur noch in eine Maske eingegeben werden müssen und dann automatisch aus ihnen ein Dokument zur DSFA erstellt wird. In diesem Jahr veröffentlichte schließlich die EU-Agentur für Cybersicherheit (ENISA) anlässlich des Datenschutztages ein Tool für die Durchführung der Datenschutz-Folgenabschätzung, das aktuell allerdings nur auf Englisch verfügbar ist.
Um die Daten für diesen Bericht zu gewinnen, müssen diejenigen, die mit der Verarbeitung vertraut sind, gemeinsam alle Gefahrenquellen innerhalb des Verarbeitungsprozesses identifizieren und dann ihre Wahrscheinlichkeit und die Schwere ihrer Auswirkungen für die betroffenen Personen einschätzen. Hierzu kann es auch hilfreich sein, stellvertretend einige der betroffenen Personen zu befragen, oder sogar einen Datenschutzexperten mit an Bord zu haben. Sind die Risiken erkannt, kann sich darum bemüht werden, Gegenmaßnahmen zu finden, die im Idealfall alle Gefahren ausschließen oder sie zumindest verringern.
Sie sehen also, was alles an Wissen und Erfahrung für eine Datenschutz-Folgenabschätzung notwendig ist. Damit Sie sicher sein können nichts zu vergessen oder zu unterschätzen, bietet Ihnen Data Privacy Professionals im Rahmen seiner DSGVO-Anpassungsbetreuung die Möglichkeit, ihre Datenschutz-Folgenabschätzungen zu betreuen und durchzuführen.
Lesen Sie mehr zu unseren Angeboten und kontaktieren Sie uns gerne für weitere Informationen.