Datenschutz-Folgenabschätzung (DSFA)

 

Worum geht es?

Die Datenschutz-Folgenabschätzung (im Folgenden „DSFA„) ist ein Instrument, um das Risiko zu erkennen und zu bewerten, das für eine betroffene Person (z.B. Kunde, Klient, Beschäftigte) durch den Einsatz einer neuen Technologie oder einer vorgesehenen Verarbeitung durch das Unternehmen / die soziale Einrichtung entsteht.

Es bedarf sie immer dann, wenn „eine Form der Verarbeitung, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben„. Dies ist insbesondere bei der Verwendung neuer Technologien der Fall.

Die Rechtsgrundlage für nicht-öffentliche Stellen ist Art. 35 Datenschutz-Grundverordnung (DS-GVO) und für evangelische kirchliche Stellen § 34 im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).

Wer muss die Datenschutz-Folgenabschätzung durchführen?

Die Pflicht gilt für Verantwortliche (also z.B. Unternehmen und Soziale Einrichtungen) und wird vorab für die vorgesehenen Verarbeitungsvorgänge als Abschätzung der Folgen durchgeführt. Ergibt sich aus der Risikobewertung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen, ist die DSFA durchzuführen. Dieser Prüfschritt wird auch als „Schwellenwertanalyse“ bezeichnet.

Wie ist die Vorgehensweise und nach welchen Prüfschritten ergibt sich die Notwendigkeit?

  1. Zunächst ist zu prüfen, ob sich die vorgesehene Verarbeitung auf der sogenannten „Muss-Liste“ der Aufsichtsbehörden befindet. Für die dort aufgezählten Verarbeitungstätigkeiten ist eine DSFA zwingend durchzuführen.
  2. Die Aufsichtsbehörde kann ebenso eine „Whitelist“ für Verarbeitungsvorgänge erstellen, für die wiederum keine DSFA erforderlich ist (eine solche Liste steht per dato leider (noch) nicht zur Verfügung).
  3. Überprüfung einer möglichen Zuordnung der vorgesehenen Verarbeitung zu folgenden Fallgruppen:
  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (z.B. Gesundheitsdaten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Falls hier bereits eine Zuordnung möglich ist, ist eine DSFA mit den Inhalten wie unter Punkt 5 beschrieben erforderlich.

  1. Treffen die vorherigen Punkte nicht zu, ist die oben genannte Schwellenwertanalyse als Risikobewertung durchzuführen. Ist deren Ergebnis ein voraussichtlich hohes Risiko für den/die Betroffene/n ist auch hier eine DSFA durchzuführen. Die Risikobewertung orientiert sich an der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. (Die Aufsichtsbehörden haben ein Kurzpapier erstellt, das die genauen Risiko-Kriterien beschreibt).
  2. Sofern sich nach den Schritten 1 -4 die Notwendigkeit der Durchführung einer DSFA ergibt, hat diese zumindest Folgendes zu enthalten:
  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß der Schwellenwertanalyse und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DS-GVO eingehalten wird.

Blacklist und Erfordernis zur DSFA in speziellen Fällen

Zu manchen konkreten Fällen haben die Aufsichtsbehörden unabhängig von der Blacklist bereits Stellung bezogen und ein klares „Muss“ für eine DSFA ausgesprochen. So zum Beispiel der Beauftragte für den Datenschutz der EKD in seinem Statement vom 03. April 2020 für Einrichtungen, die unter das DSG-EKD fallen. Demnach wird bei der Einführung eines Videokonferenzsystems (als neue Technologie) immer die Notwendigkeit einer DSFA gesehen.

Ob bei einem bestehenden Verfahren bzw. einem Datenverarbeitungsprozess eine DSFA durchzuführen ist, ist grundsätzlich eine Frage des Einzelfalls. Es bedarf wohl keiner DSFA für Bestandsverfahren, wenn

  • es bereits eine Vorabkontrolle durch den Datenschutzbeauftragten gab und
  • der Verarbeitungsvorgang noch immer auf dieselbe Art durchgeführt wird und
  • sich das mit dem Verarbeitungsvorgang verbundene Risiko nicht geändert hat.

Ändert sich ein Verarbeitungsvorgang oder ein Risiko, ist ggfs. dennoch eine DSFA durchzuführen.

Sie wissen nicht, wie Sie eine Einschätzung für eine notwendige DSFA vornehmen sollen oder wie Sie dabei vorgehen? Sprechen Sie uns gerne an!

Hilfreiche Links:

  • Kurzpapier Nr. 18 zu „Risiko für die Rechte und Freiheiten natürlicher Personen“
  • Muss-Liste“ des LfDI Baden-Württemberg für eine notwendige DSFA
  • Muss-Liste“ der Datenschutzaufsichtsbehörden Bayern für eine notwendige DSFA
  • Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz zur DSFA
  • Arbeitshilfe zur Durchführung einer Datenschutz-Folgenabschätzung des Beauftragten für den Datenschutz der EKD

Verfasser: Thorsten Jordan, 28.05.2020