Datenschutz-Folgenabschätzung nach der DSGVO – Definition und Hinweise

Datenschutz verstehen –  Datenschutz-Folgenabschätzung nach der DSGVO – Definition und Hinweise

Datenschutz-Folgenabschätzung
Zusammenfassung
  1. Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchzuführen ist.
  2. Eine Datenschutz-Folgenabschätzung muss unter anderem verpflichtend durchgeführt werden, wenn die Verarbeitung einem erhöhten Risiko für die Rechte und Freiheiten natürlicher Personen ausgesetzt ist oder besondere Kategorien personenbezogener Daten verarbeitet werden.
  3. Es existieren klare Vorgaben, welche Punkte eine Datenschutz-Folgenabschätzung enthalten muss. Hierzu gehören unter anderem die systematische Beschreibung der geplanten Verarbeitungsvorgänge sowie die Zwecke der Verarbeitung.
  4. Die Datenschutz-Folgenabschätzung ist von der verantwortlichen Stelle durchzuführen.
  5. Verstöße gegen die Bestimmungen bezüglich der Datenschutz-Folgenabschätzung werden mit Bußgeldern von bis zu 10 Mio. EUR oder im Fall eines Unternehmens mit bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres bestraft.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

PlayPlay
 

Die Datenschutz-Folgenabschätzung (DSFA) ist ein in der DSGVO geregeltes neues Verfahren. Die Durchführung einer DSFA stellt sich als eine Pflicht für Unternehmen dar, die mit sensiblen Daten zu tun haben. Sie fungiert dabei als eine Art der Risikobeurteilung. Was die Datenschutz-Folgenabschätzung ist und wann genau eine Datenschutz-Folgenabschätzung nach der neuen europäischen Datenschutz-Grundverordnung durchzuführen ist, erfahren Sie in diesem Blogbeitrag.

 

Was ist eine Datenschutz Folgenabschätzung?

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Bei der DSFA handelt es sich um eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchgeführt werden muss. Sie regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Darüber hinaus beschreibt, bewertet und reduziert sie die Risiken. Dabei ist die Datenschutz-Folgenabschätzung nicht vor jeder Datenverarbeitungstätigkeit durchzuführen.

Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von der jeweiligen Verarbeitung ab. Wann eine DSFA notwendig ist, wird im Art.35 Abs.1 aufgezählt. Diese Auflistung ist allerdings nicht abschließend (vgl. Formulierung “insbesondere”).

Die Datenschutz-Folgenabschätzung hat eine Kontrollfunktion für datenverarbeitende Stellen und schützt die personenbezogenen Daten der betroffenen Personen, da eine ausführliche Bewertung der Datenverarbeitungsprozesse erfolgt. Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung ist in Deutschland dabei gar nicht wirklich neu. Bereits im alten BDSG existierte eine ähnliche Vorgabe: Gem. § 4d Abs. 5 und 6 BDSG-alt mussten verantwortliche Stellen im Fall einer automatisierten Verarbeitung mit besonderen Risiken für Rechte und Freiheiten der betroffenen Personen eine Vorabkontrolle vor Beginn der Verarbeitung durchführen.

 

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Eine DSFA stellt sich immer dann als notwendig dar, wenn ein voraussichtlich hohes Risiko bei der Verarbeitung von personenbezogenen Daten zu vermuten ist. Sie erfolgt nach dem sogenannten Scoringverfahren, einem Punktebewertungsverfahren und endet mit der Risikoanalyse. Laut Art. 35 Abs. 1 S.1 DSGVO ist die Datenschutz-Folgenabschätzung durchzuführen, wenn die Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies passiert insbesondere bei Verwendung neuer Technologien, wegen der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung. In Art. 35 Abs. 3 DSGVO werden weitere Fälle genannt, in welchen eine Datenschutz-Folgenabschätzung vorzunehmen ist. Auch hier werden die Fälle allerdings nicht abschließend, sondern nur beispielhaft genannt. Die sogenannte Art. 29 Datenschutzgruppe liefert zur Erkennung von hohes Risiken weitere Kriterien als Orientierung.

Eine DSFA ist immer dann durchzuführen, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt. Diese gründet sich auf die automatisierte Verarbeitung inklusive Profiling und kann ihrerseits als Grundlage für Entscheidungen dienen. Des Weiteren kann sie eine Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen.

Darüber hinaus ist eine DSFA auch dann durchzuführen, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO stattfindet. Dies trifft auch bei der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO zu. Auch im Fall der systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung durchzuführen.

Beispiele für die Erforderlichkeit einer Datenschutz-Folgenabschätzung

Die bisher genannten Beispiele bezüglich der Erforderlichkeit einer Datenschutz-Folgenabschätzung sind nicht sehr spezifisch, weshalb die Ermittlung der Erforderlichkeit oft Schwierigkeiten bereitet.

Hier hat der europäische Gesetzgeber aber mit der Regelung in Art. 35 Abs. 4 DSGVO den zuständigen Datenschutzbehörden eine Pflicht auferlegt, weitere Konkretisierungen vorzunehmen. Gemäß Art. 35 Abs. 4 S.1 DSGVO muss die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen, für die gem. Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung erforderlich ist. Die meisten Datenschutzbehörden der Bundesländer sind dieser Pflicht, mehr oder weniger, nachgekommen:

Bei diesen sog. Blacklists und Whitelists handelt es sich um Positivlisten / Negativlisten, bei welchen Verarbeitungen mögliche Bedrohungen entstehen könnten. Derzeit sind 16 Verarbeitungstätigkeiten in der Positivliste beinhaltet. Allerdings ist bei diesen Aufzählungen zu beachten, dass sie ebenfalls nicht abschließend sind und die aufgezählten Verarbeitungstätigkeiten lediglich Beispiele darstellen, wann definitiv eine Datenschutz-Folgenabschätzung durchzuführen ist. Eine DSFA muss stets z.B. bei der Verarbeitung biometrischer Daten durchgeführt werden, wohingegen sie bei der Verarbeitung eines Namens nicht notwendig ist. 

Bei einigen Listen ist ferner zu berücksichtigen, dass die Listen gem. Art. 35 Abs. 4 S.2 DSGVO an den europäischen Datenschutzausschuss zu übermitteln sind und diese erst nach Abschluss des in Art. 35 Abs. 6 DSGVO genannten Kohärenzverfahrens Verbindlichkeit erhalten. Lesen und beachten Sie hierzu bitte die Hinweise auf der Webseite der jeweiligen zuständigen Datenschutzbehörde.

 

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?

Wie genau eine Datenschutz-Folgenabschätzung durchzuführen ist, erläutert Art. 35 Abs. 7 DSGVO. Hier werden Punkte genannt, die eine Datenschutz-Folgenabschätzung mindestens enthalten muss.

  1. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung 
  2. Die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den jeweiligen Zweck müssen bewertet werden 
  3. Die Risiken für die Rechte und Freiheiten der gem. Art. 37 Abs. 1 DSGVO betroffenen Personen müssen bewertet werden 
  4. Abhilfemaßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz von personenbezogenen Daten sichergestellt wird und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird

Weitere Informationen bezüglich der Inhalte der Datenschutz-Folgenabschätzung erhalten Sie von Ihrem Datenschutzbeauftragten. Unterlagen und Dokumente zum Thema Datenschutz-Folgenabschätzung erhalten Sie z.B. im Bereich DSFA auf der Webseite des  Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA).

Datenschutz-Folgenabschätzung Vorgehensweise

Die Prozessschritte einer DSFA lassen sich im Wesentlichen in drei Phasen gliedern: Es gibt die Vorbereitungs-, Bewertungs-, Maßnahmenphase. Hinsichtlich der genauen Vorgehensweise ist es zunächst wichtig, ein DSFA-Team zu erstellen und den Beurteilungsumfang festzulegen. Daraufhin werden die Betroffenen sowie die Akteure identifiziert (z.B. der Datenschutzbeauftragte und der Betriebsrat) und es kommt zu einer Prüfung der Notwendigkeit bzw. Verhältnismäßigkeit bezogen auf den Zweck der Verarbeitung. Dabei sollten die Rechtsgrundlagen für die Verarbeitung geprüft und dokumentiert werden sowie Risikoquellen identifiziert werden. 

Es folgt eine Risikobewertung unter Berücksichtigung möglicher physischer, materieller oder immaterieller Schäden, deren Schwere und Eintrittswahrscheinlichkeit. Anhand der Definition der Schadensklasse, welche von gering bis sehr hoch ausfallen kann, ergibt sich, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können. Anschließend wird eine Auswahl geeigneter Abhilfemaßnahmen, u.a. auch die technischen und organisatorischen Maßnahmen (TOM), getroffen und verbleibende Restrisiken eruiert. Darauf folgt die Erstellung des DSFA-Berichts und die Umsetzung der Abhilfemaßnahmen, welche damit auf ihre Wirksamkeit getestet werden. Es sollte sowohl eine Dokumentation des DSFA-Berichts als auch der Überprüfung der Wirksamkeit der ergriffenen Maßnahmen stattfinden. Sollten alle diese Schritte vollzogen sein, so kann der Verarbeitungsvorgang freigegeben werden. Die DSFA sollte stets auf dem aktuellsten Stand gehalten werden. 

Wir empfehlen die Durchführung einer DSFA mit einem digitalen Datenschutz-Management-System, welches eine geführte Bearbeitung der Risikobewertung zulässt. Intelligente Datenschutz-Management-Systeme können sogar Empfehlungen aussprechen und eine besonders gute Hilfestellung für die Bewertung der geplanten Verarbeitung darstellen. Hier können Sie sich im Detail weiter informieren zu unserer Datenschutz-Managementsoftware.

Datenschutz-Folgenabschätzung Checkliste

Die nachfolgende Checkliste kann als Orientierungshilfe bei Fragen, ob eine DSFA notwendig ist, genutzt werden: 

  • Erforderlichkeitsprüfung: Werden Daten im Zuge des Profilings verarbeitet? Werden besonders schützenswerte personenbezogene Daten genutzt?
  • Vorgaben der Aufsichtsbehörde: Ist eine Prüfung der herausgegebenen Blacklists/Whitelists erfolgt? 
  • Beschreibung: Wurden alle Verarbeitungsvorgänge systematisch beschrieben? Wurde notiert, welches Interesse mit der Datenerhebung verfolgt wird?
  • Datenschutzkonformität: Werden alle Datenschutzgrundsätze eingehalten, wie z.B. Zweckgebundenheit, Datensparsamkeit und Vertraulichkeit?
  • Risikobewertung: Besteht bei der Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen?
  • Maßnahmen zur Risikovermeidung:  Wurden jedem Risiko entsprechende Abhilfemaßnahmen zugeordnet?
  • Standpunkte der Betroffenen: Wurden Bedenken bei der Risikobewertung und -vermeidung berücksichtigt? 
  • Ökonomie: Wurde die Firmenstruktur an die Ergebnisse der Risikobewertung angepasst? Sind ausreichend finanzielle Mittel für das Datenschutz-Segment angewiesen? 

DSFA Risikoanalyse

Schließlich findet als Vorstufe einer Risikobewertung eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten statt. Diese werden in normalen Schutzbedarf (z.B. öffentliche Register), hohen Schutzbedarf (z.B. Steuerdaten) und sehr hohen Schutzbedarf (beispielweise Adressen von Zeugen in bestimmten Strafverfahren) gegliedert. 

Am Ende findet schließlich die Risikoanalyse statt. Dabei handelt es sich um ein Verfahren zur Risikobestimmung, welches die gleiche Funktionsweise wie ein Standarddatenschutzmodell aufweist. Gemeint ist damit eine Vorgehensweise, mit welcher die rechtlichen Anforderungen aus der DSGVO in konkrete technische und organisatorische Maßnahmen übersetzt werden können. Im Zuge dessen kommt es zur Auswertung der Checklisten. Anhand der Eintrittswahrscheinlichkeit von Schäden und der jeweiligen Höhe wird das Risiko ermittelt, welches eine Verarbeitung mit sich bringt. Eine Datenschutz-Folgenabschätzungen ist grundsätzlich nur bei solchen Verarbeitungen notwendig, welchen ein hohes oder sehr hohes Riskio einer Verletzung von Rechten und Freiheiten innewohnt. 

 

Wer muss die Datenschutz-Folgenabschätzung vornehmen?

Gem. Art. 35 Abs. 1 DSGVO ist die Datenschutz-Folgenabschätzung von der verantwortlichen Stelle durchzuführen. Art. 35 Abs. 2 DSGVO macht allerdings deutlich, dass in diesem Zusammenhang in jedem Fall Beratung und Unterstützung beansprucht werden muss. Hiernach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein. Dies gilt natürlich nur, sofern auch ein Datenschutzbeauftragter benannt wurde. Wann genau ein Datenschutzbeauftragter bestellt werden muss, erfahren Sie hier.

Bei der Beurteilung der Erforderlichkeit und der konkreten Durchführung einer Datenschutz-Folgenabschätzung profitieren verantwortliche Stellen von dem Fachwissen ihres Datenschutzbeauftragten. Auch wenn die DSGVO eine nur beratende Tätigkeit des Datenschutzbeauftragten bei der DSFA vorsieht, ist dies in der Praxis oft anders, da der Datenschutzbeauftragte in diesem Zusammenhang eher federführend agiert.

Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 300 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

externer Datenschutzbeauftragter - Termin buchen
 

Was passiert, wenn keine DSFA durchgeführt wird?

Wenn trotz Erforderlichkeit eine Datenschutz-Folgenabschätzung nicht durchgeführt wird, droht einerseits ein Bußgeld nach Maßgabe der Art. 83 ff. DSGVO. So drohen nach Art. 83 Abs. 4 DSGVO bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Eine allgemeine Übersicht bezüglich der in Deutschland erlassenen Bußgelder seit Anwendbarkeit der DSGVO sehen Sie hier.

Andererseits kann es durch die Verarbeitung ohne DSFA – neben Bußgeldern –  auch zu physischen, materiellen und immateriellen Schäden kommen, wie zum Beispiel Reputationsverlust oder eine Verletzung des allgemeinen Persönlichkeitsrechts. 

In diesem Beitrag handelt sich um allgemeine Informationen zum Thema Datenschutz-Folgenabschätzung. Jeder Datenverarbeitungsprozess muss allerdings einzelfallbezogen betrachtet und datenschutzrechtlich begutachtet werden, weshalb dieser Artikel keine allgemeine Gültigkeit beschreibt. Wir freuen uns, Sie individuell zu beraten.

Dipl.-Jurist Serkan Taskin

Menü