Die Datenschutz-Folgenabschätzung (DSFA) ist ein wesentliches Instrument, um die Privatsphäre der von automatisierter Datenverarbeitung Betroffenen zu schützen und die Einhaltung der Datenschutz-Grundverordnung (DS-GVO) zu gewährleisten. Sie hilft den Datenschutzbeauftragten und Verantwortlichen von Unternehmen dabei, Risiken bei der Verarbeitung personenbezogener Daten zu identifizieren, zu bewerten und zu minimieren. In unserem Ratgeber klären wir die wichtigsten Fragen zur DSFA.
Inhaltverzeichnis
- Was ist eine Datenschutz-Folgenabschätzung?
- Unterschied zur Vorabkontrolle
- Exkurs: Hintergründe zur Europäischen Datenschutz-Grundverordnung
- Wann ist eine DSFA erforderlich?
- Blacklist
- Schwellwertanalyse zur Ermittlung des Risikos bei der Datenverarbeitung
- Was beinhaltet eine Datenschutz-Folgenabschätzung?
- Wer muss eine Datenschutz Folgenabschätzung durchführen?
- Unser Seminar zur Datenschutz-Folgenabschätzung: minimieren Sie Ihr Risiko für DS-GVO-Verstöße
Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung, kurz DSFA, ist eine Risikoeinschätzung, die im Vorfeld bestimmter Arten der Verarbeitung personenbezogener Daten stattfinden muss. Ziel der DSFA ist es, die Risiken für die Verletzung der Rechte und Freiheiten natürlicher Personen zu bewerten.
Der Prozess der DSFA hilft dabei, präventive Maßnahmen zu ergreifen, um Datenschutzverletzungen zu vermeiden und die Einhaltung der Europäischen Datenschutz-Grundverordnung, kurz EU-DS-GVO, sicherzustellen. In der EU-DS-GVO, die seit Mai 2018 im gesamten Europäischen Wirtschaftsraum anzuwenden ist, ist die Datenschutz-Folgenabschätzung in Artikel 35 vermerkt.
Unterschied zur Vorabkontrolle
Laut Europäischer Datenschutz-Grundverordnung ist eine Risikoanalyse generell für alle Datenverarbeitungen vorgesehen. Mit ihrem Inkrafttreten ersetzte die DSFA die zuvor im deutschen Bundesdatenschutzgesetz, kurz BDSG, verankerte Vorabkontrolle. Diese war vorgesehen, sobald – im Rahmen der automatisierten Datenverarbeitung – besondere Risiken für die Rechte und Freiheiten natürlicher Personen bestanden.
Die Datenschutz-Folgenabschätzung unterscheidet sich von der alten Vorabkontrolle dadurch, dass sie deutlich umfangreicher und komplexer ist und nur bei kritischen Verarbeitungsprozessen notwendig wird. Außerdem ist sie – im Gegensatz zum deutschen BDSG – im gesamten Europäischen Wirtschaftsraum gültig.
Exkurs: Hintergründe zur Europäischen Datenschutz-Grundverordnung
Die Europäische Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 in allen EU-Mitgliedstaaten anwendbar. Sie zielt darauf ab, die Verarbeitung personenbezogener Daten in der EU zu standardisieren und den Schutz natürlicher Personen zu stärken.
In diesem Zusammenhang gibt die DS-GVO auch den Rahmen für die Datenschutz-Folgenabschätzung vor und legt fest, unter welchen Umständen diese durchgeführt werden muss. Sie stärkt die Rechte der Betroffenen und erhöht den Aufwand für die Datenschutzbeauftragten der Datenverarbeiter – besonders im Hinblick auf Transparenz, Datensicherheit und Verantwortlichkeit.
Wann ist eine DSFA erforderlich?
Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
In Art. 35 Abs. 1 DS-GVO heißt es dazu:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Dies ist gemäß Art. 35 Abs. 3 DS-GVO unter anderem der Fall bei:
- systematischer und umfangreicher Bewertung persönlicher Aspekte, einschließlich Profiling.
- groß angelegter Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO – wie Gesundheitsdaten – oder von Daten über strafrechtliche Verurteilungen und Straftaten.
- systematischer Überwachung öffentlich zugänglicher Bereiche in großem Umfang.
- Einführung neuer Technologien oder Anwendungen, die die Art und Weise der Datenverarbeitung signifikant verändern.
Wann genau eine Datenschutz-Folgenabschätzung nötig ist, geht jedoch aus diesen allgemeinen Definitionen nicht eindeutig hervor. Dieser Umstand erschwert es den Datenschutzbeauftragten in Unternehmen und öffentlichen Stellen, Entscheidungen im Sinne der DS-GVO zu treffen.
Blacklists
Um Unternehmen die Entscheidungsfindung über die Notwendigkeit einer DSFA zu erleichtern, sind die Aufsichtsbehörden – gemäß Art. 35 Abs. 4 DS-GVO – dazu verpflichtet, Negativlisten, sogenannte Blacklists,zu veröffentlichen. Diese enthalten Verarbeitungsvorgänge, bei denen eine DSFA erforderlich ist, erheben jedoch keinen Anspruch auf Vollständigkeit.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz DSK, hat eine solche Blacklist veröffentlicht, laut der eine DSFA durchgeführt werden muss, wenn:
- biometrische Daten zur eindeutigen Identifizierung natürlicher Personen verarbeitet werden, soweit die Verarbeitung:
- schutzbedürftige Personen betrifft,
- der systematischen Überwachung dient,
- unter Hinzuziehung neuartiger technologischer oder organisatorischer Lösungen erfolgt,
- dem Scoring betroffener Personen dient,
- das Abgleichen oder Zusammenführen von Datensätzen beinhaltet,
- eine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung beinhaltet,
- betroffene Personen daran hindert, ein Recht, die Nutzung einer Dienstleistung oder die Durchführung eines Vertrags auszuüben.
- umfangreich Daten über den Aufenthalt von Personen verarbeitet werden.
- eine Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und eine Verarbeitung der so zusammengeführten Daten stattfindet, sofern die Verarbeitung und Zusammenführung:
- der personenbezogenen Daten in großem Umfang vorgenommen werden,
- für Zwecke erfolgt, für die nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
- die Anwendung von Algorithmen einschließt, die für die betroffenen Personen nicht nachvollziehbar sind,
- der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können.
- umfangreich Angaben über Verhaltensweisen von Beschäftigten zur Bewertung der Arbeitsfähigkeit verarbeitet werden, welche zur Bewertung der Arbeitstätigkeit derart eingesetzt werden können, dass sich aus ihnen Rechtsfolgen oder andere erhebliche Beeinträchtigungen für die Betroffenen ergeben können.
Schwellwertanalyse zur Ermittlung des Risikos bei der Datenverarbeitung
Die Schwellwertanalyse, englisch threshold analysis, ist eine Risikoanalyse, die ermitteln soll, ob die Durchführung einer Datenschutz-Folgenabschätzung erforderlich ist. Sie dient dazu, das Risiko geplanter Datenverarbeitungsvorgänge für die Rechte und Freiheiten natürlicher Personen zu bewerten.
Dabei werden verschiedene Faktoren berücksichtigt. Hierzu zählen unter anderem die Art, der Umfang, der Kontext und der Zweck der Datenverarbeitung. Die Höhe eines möglichen Risikos wird mithilfe der Eintrittswahrscheinlichkeit und der Schwere möglicher Schäden für die betroffenen natürlichen Personen bewertet.
Die Schwellwertanalyse erfordert eine gründliche Prüfung der Datenverarbeitungsvorgänge und sollte in enger Zusammenarbeit mit den relevanten Stakeholdern durchgeführt werden, um eine umfassende Risikobewertung zu gewährleisten.
Was beinhaltet eine Datenschutz-Folgenabschätzung?
Was eine DSFA beinhalten muss, wird durch Art. 35 Abs. 7 DS-GVO festgelegt. Eine Datenschutz-Folgenabschätzung umfasst demnach die systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung.
Ferner bewertet sie, inwiefern die Verarbeitung – bezogen auf den Zweck – notwendig und verhältnismäßig ist. Außerdem enthält sie eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die Maßnahmen, die zur Minimierung dieser Risiken ergriffen werden sollen.
Wer muss eine Datenschutz Folgenabschätzung durchführen?
Eine DSFA muss von den juristisch Verantwortlichen durchgeführt werden. Dabei kann es sich – wie in der DS-GVO definiert – um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle handeln, die allein oder gemeinsam mit anderen (Joint Controllership) über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Für diese Aufgabe werden häufig Datenschutzbeauftragte oder Datenschutz-Teams eingesetzt. Diese leiten den Prozess der DSFA und stellen sicher, dass alle erforderlichen Schritte ordnungsgemäß durchgeführt werden. Der Datenschutzbeauftragte berät und überwacht den Prozess, ist jedoch nicht der alleinige Verantwortliche für die Durchführung der DSFA.
Unser Seminar zur Datenschutz-Folgenabschätzung: minimieren Sie Ihr Risiko für DS-GVO-Verstöße
Die Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO sowie deren praktische Durchführung führt bei Verantwortungsträgern häufig zu Unsicherheiten und wirft viele Fragen auf.
In unserem eintägigen Seminar zur Datenschutz-Folgenabschätzung lernen Sie anhand praktischer Übungen, wie Sie mithilfe des Standard-Datenschutzmodells eine strukturierte DSFA durchführen.