Datenschutz-Folgenabschätzung: Ein Modell für die Praxis
Die Datenschutz-Folgenabschätzung ist eine der wesentlichen Neuerungen der Grundverordnung. Unternehmen müssen zukünftig eine DSFA für ihre Datenverarbeitungen durchführen, wenn diese Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können.
Die DSGVO formuliert die Regelungen zur Folgenabschätzung allerdings sehr allgemein. So stehen Unternehmen grundsätzlich vor der Herausforderung, selbst ein geeignetes Verfahren zu finden, um die Datenschutz-Folgenabschätzung durchzuführen.
Gerade kleine und mittlere Unternehmen (KMU) verfügen jedoch meist nicht über die erforderlichen Kapazitäten, sowohl hinsichtlich der personellen Ausstattung als auch des fachspezifischen Know-hows.
Sie benötigen daher konkrete Handlungsanweisungen und Vorgaben. Bislang existieren hierzu jedoch keine hinreichend konkretisierten Hilfestellungen. Das soll sich nun ändern.
Was sagt bisher das BDSG?
Das Thema Datenschutzfolgeabschätzung findet im Bundesdatenschutzgesetz (BDSG) keine Berücksichtigung. Das BDSG führt nur die Vorabkontrolle auf, die sich als Vorgänger der Datenschutz-Folgenabschätzung ansehen lässt. Die Vorabkontrolle unterscheidet sich in Art und Umfang der Prüfung jedoch erheblich von der DSFA der Grundverordnung.
Konkrete Handlungsschritte
Aus diesem Anlass haben wir einen Prozess entwickelt, der eine praxistaugliche Durchführung der DSFA nach den Vorgaben der DSGVO ermöglicht. Hierbei wurden die allgemeinen Vorgaben der DSGVO, soweit möglich, in konkrete Handlungsschritte umgewandelt.
Dieses Modell weist die Besonderheit auf, dass es die Risikoabschätzung einerseits – wie von der Verordnung gefordert – aus Betroffenensicht und andererseits – wegen der besonderen Bedeutung für das Unternehmen – auch aus Unternehmenssicht vornimmt.
Risikobetrachtung
Die Datenschutz-Grundverordnung verfolgt einen risikoorientierten Ansatz. In diesem Zusammenhang müssen die beiden Begriffe Risikoansatz und Risikomanagement näher betrachtet werden, da sie unterschiedliche Ziele verfolgen.
Im Bereich des Datenschutzes ist der Risikoansatz relevant. Der Risikoansatz strebt an, natürliche Personen vor der unsachgemäßen Verwendung ihrer personenbezogenen Daten zu schützen, um eine Beeinträchtigung ihres Persönlichkeitsrechts zu verhindern.
Das Risikomanagement hingegen konzentriert sich auf die Ziele des Unternehmens. Das Risikomanagement hat bei der Risikobewertung das bestmögliche Ergebnis für den wirtschaftlichen Erfolg als Ziel. Hier kann das Thema Datenschutz dann schon einmal eine niedrige Priorität erhalten.
Speziell für die Folgenabschätzung besteht die Herausforderung darin, den Risikoansatz und das Risikomanagement zu kombinieren, um einen Mehrwert für Unternehmen bieten zu können.
Allgemeine Vorgehensweise
Die Integration der Folgenabschätzung im Unternehmen sollte prozessorientiert erfolgen. Das stellt sicher, dass alle Prozessphasen und Prozessschritte regelmäßig durchlaufen werden.
Vorgelagerter DSFA-Prozess
Im Gegensatz zu den bisher veröffentlichten DSFA-Konzepten beginnt das hier vorgestellte Modell mit einer vorgelagerten Prozessphase. In dieser Phase muss das Topmanagement das neue Thema Datenschutz-Folgenabschätzung im Unternehmen integrieren. Zum Beispiel sollte es sicherstellen, dass regelmäßige Datenschutzschulungen die Mitarbeiter zur Datenschutz-Folgenabschätzung informieren.
Zudem ist das Thema in das Projektmanagement aufzunehmen: Neue Projekte müssen frühzeitig einplanen, dass möglicherweise eine Folgenabschätzung nötig ist.
DSFA-Team bestimmen
Weiterhin muss das Topmanagement ein Team bestimmen, das sich um die Durchführung der DSFA kümmert.
Die DSGVO sieht in Art. 35 Abs. 1 DSGVO vor, dass der Verantwortliche eine DSFA durchführt. Zusätzlich erwähnt Art. 35 Abs. 2 DSGVO den Datenschutzbeauftragten. Sofern ein Datenschutzbeauftragter im Unternehmen bestellt ist, sollte er als Berater zum Team gehören. Er verfügt über das größtmögliche Know-how aus dem Bereich Datenschutz und kann so den gesamten Prozess optimal begleiten.
Zusätzlich zum Datenschutzbeauftragten ist es sinnvoll, dass in der Praxis mindestens zwei weitere Personen dem Team angehören.
Das ist insbesondere der Informationssicherheitsbeauftragte, der bei den technischen und organisatorischen Maßnahmen eine wichtige Rolle übernimmt. Denn die Maßnahmen müssen aufgrund der zunehmenden Komplexität sowie des schnellen Wandels der Technik regelmäßig angepasst werden.
Es empfiehlt sich zudem, eine Person aus der Fachabteilung als Informationsquelle einzubeziehen: Der eigentliche DSFA-Prozess benötigt diverse Informationen über die geplanten Verarbeitungsvorgänge, um die Risiken für die Rechte und Freiheiten der Betroffenen zu prüfen.
Um jeweils einen direkten Draht zur Basis der Informationen zu haben, sollte die Person projektspezifisch ausgetauscht werden.
Basiskriterien des Risikomanagements
Das DSFA-Team muss sich mit den Basiskriterien des Risikomanagements befassen. Das Team sollte sie vor dem eigentlichen DSFA-Prozess definieren, um einen einheitlichen Ansatz für alle Datenschutz-Folgenabschätzungen zu haben. Hierzu zählen
- der Risikomanagement-Ansatz,
- die Risikobewertungs-Kriterien sowie
- die Risikoakzeptanz-Kriterien.
Der eigentliche Prozess der Datenschutz-Folgenabschätzung
Der Prozess ist in Teilprozesse gegliedert:
- Vorbereitungsphase
- Bewertungsphase
- Berichtsphase
- Verbesserungsphase
Vorbereitungsphase
Die Vorbereitungsphase prüft, ob es für die geplante Datenverarbeitung überhaupt eine Rechtsgrundlage gibt. Dann erstellt das Team eine ausführliche Beschreibung der Datenverarbeitung, um alle Informationen für die spätere Folgenabschätzung zusammenzutragen.
Weiterhin prüft es in dieser Phase, ob das Verfahren in den – aktuell noch nicht vorhandenen – Black- und Whitelists der Aufsichtsbehörden aufgeführt ist.
Hier entscheidet sich, ob der Prozess bereits beendet ist und das Ergebnis der Nicht-Durchführung der DSFA dokumentiert wird oder ob der Prozess in die nächste Phase übergeht.
Bewertungsphase
Die Bewertungsphase haben wir an die ISO/IEC 27005 und die ISO 31000 angelehnt. Die beiden Standards arbeiten mit einem übersichtlichen und nachvollziehbaren Ablauf und haben sich über viele Jahre in der Praxis bewährt.
Unternehmen, die bereits ein Informationssicherheitsmanagementsystem nach ISO/IEC 27001 eingeführt haben, verwenden grundsätzlich die gleiche Vorgehensweise beim Risikomanagement. Das Grundgerüst der ISO-Normen ist jedoch auch für die DSFA geeignet.
Innerhalb der einzelnen Schritte muss im Gegensatz zu anderen Risikobetrachtungen allerdings ein größerer Wert auf die Datenschutzrisiken gelegt werden.
Berichtsphase
Diese Phase beginnt damit, den DSFA-Bericht zu erstellen. Die DSGVO sieht in Art. 35 Abs. 7 DSGVO mindestens vier Punkte vor, die dieser Bericht umfassen muss:
- eine systematische Beschreibung der geplanten Datenverarbeitung sowie des Zwecks der Verarbeitung
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung
- eine Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen
- eine Auflistung der Abhilfemaßnahmen, die den Schutz personenbezogener Daten sicherstellen
Diese Informationen lassen sich auch für das Verzeichnis der Verarbeitungstätigkeiten verwenden. So ist es im Anschluss nicht nötig, diese Daten noch einmal gesondert abzufragen.
Ist der Bericht zur Datenschutz-Folgenabschätzung erstellt, wird ersichtlich, ob Risiken aus Betroffenensicht in einer der beiden Risikostufen „hohes Risiko“ bzw. „sehr hohes Risiko“ vorhanden sind, die sich nicht durch eine entsprechende Maßnahme reduzieren lassen. Ist dies der Fall, muss im nächsten Schritt entschieden werden, ob die zuständige Aufsichtsbehörde einzubinden ist.
Verbesserungsphase
Der Berichtsphase folgt die Verbesserungsphase. Sie ist in drei verschiedenen Situationen erforderlich:
- Die DSFA muss erneut durchgeführt werden, wenn sich bei der Datenverarbeitung eine Änderung ergeben hat.
- Daneben ist in regelmäßigen Abständen zu überprüfen, ob die Datenverarbeitung noch so durchgeführt wird, wie sie in der Datenschutz-Folgenabschätzung beschrieben ist.
- Die dritte Variante kommt zum Einsatz, wenn die Datenverarbeitung vollständig eingestellt und der DSFA-Prozess für dieses Verfahren nicht mehr weitergeführt wird.
Aufsichtsbehörden werden letztlich entscheiden
Die DSFA kann ein gutes und hilfreiches Mittel sein, um die Risiken für die Rechte und Freiheiten der Betroffenen abzuschätzen. Zudem schaffen Unternehmen geeignete Voraussetzungen, um sich im Bereich Datenschutz und Informationssicherheit zertifizieren zu lassen, indem sie
- definierte Prozesse einführen,
- Dokumentationen anlegen und
- ein Risikomanagement aufbauen.
Die sehr allgemeine Formulierung des Art. 35 DSGVO lässt jedoch derzeit einen großen Handlungsspielraum zu. In der Praxis bleibt es daher abzuwarten, welche Modelle die Aufsichtsbehörden letztlich anerkennen und somit als praxistauglich einstufen.