Die Datenschutz-Folgenabschätzung (DSFA) entspricht einer Risikobewertung der sicheren Verarbeitung von personenbezogenen Daten in einem Unternehmen. Sie ist eine Form der Vorabbewertung bestimmter Verarbeitungsvorgänge.
Dabei gilt es sich nicht nur an die Vorgaben der DSGVO zu halten, sondern auch für das eigene und mögliche Partnerunternehmen die Sicherheit im Datenschutz zu erhöhen.
Die DSFA stellt eines der wichtigsten Instrumente der Datenschutz-Grundverordnung (DSGVO) dar. Ihre Anforderungen werden in Art. 35 der DSGVO und den Erwägungsgründen 84, 90, 91, 92 und 93 angegeben.
Die DSFA ist ein Instrument, um das Risiko möglicher Datenschutzverstöße zu verringern. Dabei sollen primär die Rechte und Freiheiten von natürlichen Personen geschützt werden.
Die Folgenabschätzung ist deshalb seit Erlass der DSGVO immer dann erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen beinhaltet.
Die DSFA ist durchzuführen, sobald eine Organisation neue Verfahren zur Verarbeitung von Daten einsetzen möchte, die:
„(…) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (…)“ haben
(Art. 35 DSGVO)
Die Aufsichtsbehörde hat für öffentliche und nicht öffentliche Stellen des Bundes Listen erstellt, in denen alle Formen der Verarbeitung aufgeführt sind, für die eine Datenschutzfolgeabschätzung notwendig ist:
In jedem Fall profitieren Organisationen durch die Durchführung der DSFA von Beginn an von der Identifizierung möglicher Risiken. Auf diese Weise können sie ihre Geschäftsprozesse sowie ihr Datenschutz- und Compliance-Management optimieren.
Sofern das Unternehmen über Datenschutzbeauftragten verfügt, sollte diese:r zurate gezogen werden. Als weisungsunabhängige Person sollte diese zur Vermeidung von möglichen Interessenkonflikten jedoch nicht selbst die DSFA durchführen. Hierfür bietet es sich vielmehr an ein Team aufzustellen.
Die verantwortlichen Personen sollten dabei über Kompetenzen im Datenschutz, der Bewertung von Risiken und in den konkreten Fachbereichen verfügen. Auch die IT-Verantwortlichen und Auftragsverarbeiterinnen und Auftragsverarbeiter müssen in den Erstellungsprozess der DSFA mit einbezogen werden. Es sollte ein interdisziplinäres Team zusammengestellt werden, das inhaltlich und fachlich die Erstellung und Bewertung der Risikoanalyse vornehmen kann.
Wenn ein Unternehmen personenbezogene Daten von KundInnen an Dritte weiterleiten möchte, muss dies in jedem Fall geprüft werden. Auch wenn das Unternehmen bei den Daten eine Anonymisierung oder Pseudonymisierung vornimmt, sollte eine Datenschutz-Folgenabschätzung durchgeführt werden.
Folgende Fragen muss sich das Unternehmen dabei stellen:
Achtung: Die DSFA gilt auch für personenbezogene Daten in Papierform!
Die Durchführung der Datenschutz-Folgenabschätzung wird in Form eines Berichts dokumentiert. Hierfür wird zunächst die Verarbeitungstätigkeit festgelegt, die genauestens untersucht werden soll.
Eine klare Abgrenzung des Geltungsbereiches ist dabei von Vorteil. Für verschiedene Verarbeitungsvorgänge müssen auch verschiedene DSFA’s erstellt werden.
Das DSFA-Team legt die benötigten Dokumente, Zuständigkeiten und Aufgaben in Form eines Projektplans fest. Danach beginnt es mit der Untersuchung der Erwartungen der betroffenen Personen. Dies kann in Form von Interviews oder der Kontaktaufnahme zu Verbraucherschutzverbänden geschehen.
Handelt es sich bei den betroffenen Personen um Beschäftigte, muss auch der Betriebsrat eingebunden werden. Dies kann beispielsweise bei der Einrichtung von Videoüberwachung oder anderer neuer Software der Fall sein.
Bei der Verarbeitung von Daten sind neben den betroffenen Personen häufig auch andere Unternehmen oder AuftragsverarbeiterInnen betroffen. Diese müssen ebenfalls in die Datenschutz-Folgenabschätzung integriert werden. Auch hier erfolgt die Informationsbeschaffung durch gezielte Nachfrage.
Um eine Datenschutz-Folgenabschätzung durchführen zu können, müssen den bearbeitenden Personen alle relevanten Informationen zur Verfügung gestellt werden. Nur unter Berücksichtigung aller Aspekte kann eine belastbare Einschätzung des Datenschutzrisikos vorgenommen werden.
Das DSFA-Team muss sich auf diese Weise ein genaues Bild von der untersuchten Verarbeitungstätigkeit machen. Daraus ergibt sich schlussendlich der Bericht.
Dabei handelt es sich um eine systamatische Beschreibung der Verarbeitungsvorgänge. Die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung werden ausführlich aufgeführt.
Zu den Gewährleistungszielen gehört:
Die Gewährleistungsziele helfen dabei, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu definieren. Als Risiko gelten hierbei alle Ereignisse, die eintreten könnten und selbst einen Schaden darstellen oder einen Schaden herbeiführen können. Unter „Schaden“ können dabei alle physischen, materiellen und immateriellen Beeinträchtigungen zusammengefasst werden, die durch das neue Verfahren entstehen könnten.
Die Einstufung der Eintrittswahrscheinlichkeit der verschiedenen Risiken sollte dabei durch geeignetes Fachpersonal erfolgen. Dabei müssen folgende Punkte beachtet werden:
Neben der Eintrittswahrscheinlichkeit sollte zudem die Schadenshöhe und Risikoklasse bestimmt werden.
Gemäß den Ergebnissen muss anschließend das Team im Rahmen der Folgenabschätzung technische und organisatorische Maßnahmen zur Risikominimierung entwerfen. Hierfür müssen sowohl verantwortliche Personen als auch eine Umsetzungsfrist bestimmt werden. Daraufhin erfolgt eine Neubewertung der Folgenabschätzung unter Berücksichtigung der getroffenen Maßnahmen.
Die Wirksamkeit der Veränderungen wird daraufhin in verschiedenen Tests überprüft. In allen Fällen ist es von hoher Bedeutung, dass die DSFA in regelmäßigen Abständen überprüft und angepasst wird.
Quellen: