Datenschutz-Folgenabschätzung – DSFA
Nach Art. 35 Datenschutz-Grundverordnung (DSGVO) müssen Verantwortliche, bevor sie einen neuen Verarbeitungsvorgang oder eine Vorgangsreihe bzw. einen Arbeitsprozess zur Verarbeitung personenbezogener Daten einführen, die Folgen abschätzen, die dieser Prozess in Bezug auf die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Ist der Verantwortliche der Auffassung, dass die geplante Verarbeitung zu einem hohen Risiko führt, muss er eine Datenschutz-Folgenabschätzung (DSFA) durchführen.
➜ Datenschutz-Folgenabschätzung (DSFA): Hinweise der Aufsichtsbehörden
Grundlagen zur Datenschutz-Folgenabschätzung (DSFA)
Gesetze & Vorschriften
- Artikel 35 und 36 Datenschutz-Grundverordnung (DSGVO)
- Erwägungsgründe 71, 74–77, 84, 89–92, 94 und 95 der DSGVO
Was bedeutet „hohes Risiko“?
Im Rahmen der Betrachtung von Art, Umfang, Umständen und Zwecken der Verarbeitung(en) ist zu bewerten, ob diese ein voraussichtlich hohes Risiko für diejenigen mit sich bringt, die von der Verarbeitung der Daten betroffen sind.
Ein immer wieder von Datenschutzpraktiker:innen adressiertes Problem ist es, den Begriff „Risiko“ einzugrenzen. Auslegung und Anwendung des Risikobegriffs sind wiederholt Gegenstand verschiedener Fachartikel.
Unter anderem das Kurzpapier Nummer 18 der Datenschutzkonferenz (DSK) befasst sich damit, das Risiko im Kontext der Datenschutz-Grundverordnung (DSGVO) zu definieren und aufzuzeigen, wie sich Risiken für die Rechte und Freiheiten natürlicher Personen bestimmen und in Bezug auf ihre Rechtsfolgen bewerten lassen (siehe Kurzpapier Nr. 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“, Stand 26.04.2018, abzurufen unter https://ogy.de/dsk-kpnr-18).
Ist ein Verantwortlicher der Auffassung, dass die geplante Verarbeitung von Daten zu einem hohen Risiko führt, muss er eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Bevor ein Verantwortlicher diesen mitunter sehr aufwendigen Prozess einer umfassenden DSFA anstößt, ist jedoch eine Prüfung geboten, ob eine DSFA erforderlich ist.
1. Zuständigkeit für die Prüfung und Durchführung der DSFA nach Art. 35 DSGVO
Nach wie vor – und das mag nicht überraschen – sind die größten Hindernisse bei der klaren Zuweisung von internen Zuständigkeiten zu finden.
In ihrem Abschlussbericht zur Querschnittsprüfung von 50 Unternehmen vom November 2019 stellt die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) fest:
„Zunächst war auffällig, dass eine erhebliche Anzahl von Unternehmen hier antwortete, dass die Prüfung durch den betrieblichen Datenschutzbeauftragten durchgeführt wird. Das ist grundsätzlich problematisch, da der DSB eine beratende und kontrollierende Funktion hat, die er nur sinnvoll wahrnehmen kann, wenn er sich nicht selbst berät und kontrolliert.“
Den Abschlussbericht, einen Kriterienkatalog für die Auswertung sowie den Fragenkatalog der LfD zur Querschnittsprüfung finden Sie unter https://ogy.de/lfd-querschnittsprufung.
2. Gegenstand der Betrachtung
Neben klaren Zuständigkeiten fehlt es in aller Regel leider auch an der systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Ohne diese Informationen lassen sich keine belastbaren Ergebnisse erzielen.
In der Querschnittsprüfung der LfD Niedersachsen scheiterte an diesem Punkt bereits knapp die Hälfte der geprüften DSFA.
„Eine halbe Seite Sachverhaltsbeschreibung oder sogar nur wenige Stichpunkte können insbesondere bei komplexen Verarbeitungsvorgängen nicht die Grundlage für eine vertiefte Risikoanalyse und die Festlegung darauf basierender Maßnahmen sein. In diesen Fällen blieb auch unklar, welchem Ablauf die Verarbeitung folgt, welche personenbezogenen Daten verarbeitet werden und welche Hard- und Software dabei verwendet wird. Hatte eine DSFA hier bereits Defizite, folgte auch keine angemessene Risikoanalyse.“
Es bedarf einer ausführlichen, auch für Vorgangsfremde nachvollziehbaren Beschreibung des kompletten Vorgangs, der zur Prüfung, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist oder nicht, vorgesehen ist. Auch alle verarbeiteten Datenkategorien und Betroffenengruppen gehören dazu.
Nötige Bestandteile einer Beschreibung
Folgende Bestandteile einer Beschreibung sind zwingend:
- Löschfristen
- Rechtsgrundlagen
- grafische Darstellung des Datenflusses unter Nennung der eingesetzten Systeme
- Hervorhebung etwaiger externer Stationen (Unternehmensstandorte bzw. Dienstleister / grenzüberschreitend bzw. Drittland)
- etwaige Schnittstellen bzw. Datenübergabepunkte
Für die Beschreibung genug Zeit und Personal einplanen!
Der Erfahrung nach braucht man für die Beschreibung der Verarbeitungsvorgänge und Zwecke weit mehr Zeit, Nerven und fachliche Ressourcen als gedacht. Womit sich der Kreis zur Erforderlichkeit klarer Zuständigkeiten schließt.
Hier muss der Verantwortliche im Vorfeld eine eindeutige und verlässliche Basis schaffen. Sonst geht auf der Suche nach den Fakten viel Zeit und Motivation verloren.
3. Wie prüft man das „Ob“ einer DSFA?
Erster Akt – die „Nichterforderlichkeit“ einer DSFA
Nach dem Ausschlussprinzip lässt sich zunächst die „Nichterforderlichkeit“ einer Datenschutz-Folgenabschätzung (DSFA) prüfen. Das wird recht schnell erledigt sein:
- Gibt es eine sogenannte Whitelist gemäß Art. 35 Abs. 5 DSGVO, und fällt die betrachtete Verarbeitung darunter?
- Oder wurde bereits eine Datenschutz-Folgenabschätzung (DSFA) für einen ähnlichen Verarbeitungsvorgang mit ähnlich hohem Risiko nach Art. 35 Abs. 1 Satz 2 DSGVO durchgeführt?
- Beruht die Verarbeitung gemäß Art. 35 Abs. 10 DSGVO auf einer Rechtsgrundlage gemäß Art. 6 Abs. 1 Buchst. c oder e DSGVO, die den konkreten Verarbeitungsvorgang regelt, bei der bereits mit Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte und die kein Erfordernis nennt, vor den betreffenden Verarbeitungstätigkeiten eine DSFA durchzuführen?
Letzteres ist eine bislang leider hypothetische Fragestellung.
Die Datenschutzleitlinie und die Governance-Struktur sollte klar festlegen, wer maßgeblich die Bewertung über das „Ob“ einer DSFA und später auch die Durchführung begleitet.
Diese Person oder dieses Team erhält die entsprechende Ausbildung und die erforderlichen Ressourcen.
Zweiter Akt – Prüfung gegen die Blacklists der Aufsichtsbehörden
Aus den Betroffenengruppen geht hervor, ob ein Verantwortlicher die Verarbeitung gegen die Listen mehrerer Mitgliedstaaten prüfen muss. Maßgeblich ist jeweils die Blacklist des Mitgliedstaats, in dem der Verantwortliche seinen Sitz hat.
Das ist z.B. bei der zentralen Verarbeitung von Beschäftigtendaten eines Unternehmens mit jeweils rechtlich eigenständigen Standorten in verschiedenen europäischen Staaten anzunehmen. Öffentliche Stellen müssen die Blacklists der jeweiligen Landesdatenschutzbeauftragten berücksichtigen.
Eine Zusammenstellung der aktuellen Blacklists aus Deutschland und Europa findet sich z.B. auf den Seiten der rehm Datenschutz GmbH (https://ogy.de/dsfa-aktuelle-uebersicht).
Eine einfach strukturierte Übersicht, welche Blacklist für welche Verarbeitungen eine DSFA fordert, findet sich beispielsweise bei fieldfischer (https://ogy.de/national-DPIA-blacklists).
Die deutsche sogenannte „Mussliste“ listet in einer Tabelle die jeweils maßgebliche Beschreibung der Verarbeitungstätigkeit, die typischen Einsatzfelder und Beispiele solcher Verarbeitungsvorgänge auf, für die eine DSFA durchzuführen ist (siehe das fünfseitige PDF unter https://ogy.de/DSFA-Muss-Liste).
Findet sich die von Ihnen betrachtete Verarbeitung trotz detaillierter Prüfung nicht in dieser Liste, ist der Satz direkt unter der Tabelle ein Hinweis auf den dritten Akt: „Diese Liste ist nicht abschließend, sondern ergänzt die in den Absätzen 1 und 3 des Artikels 35 Datenschutz-Grundverordnung (DSGVO) enthaltenen allgemeinen Regelungen.“
Die Blacklists für Datenschutz-Folgenabschätzungen
Die in den Mitgliedstaaten zuständigen Aufsichtsbehörden hatten diese Blacklists gemäß des Kohärenzverfahrens dem europäischen Datenschutzausschuss vorzulegen.
Das bedeutete jedoch nicht, dass alle Listen in Europa identisch sein müssen. Die zuständigen Aufsichtsbehörden verfügen über einen Ermessensspielraum bezüglich des nationalen oder regionalen Kontexts und haben zudem ihren lokalen Rechtsvorschriften Rechnung zu tragen.
So auch ausdrücklich der Datenschutzausschuss in der Stellungnahme 5/2018 zu der von den zuständigen Aufsichtsbehörden Deutschlands entworfenen Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist – angenommen am 25.September 2018 (https://ogy.de/stellungnahme-edpb).
Dritter Akt – Verarbeitungsvorgänge mit wahrscheinlich hohem Risiko
Dass eine DSFA erforderlich ist, kann sich auch durch die Situationen ergeben, die Art. 35 Abs. 3 exemplarisch nennt, sofern ein Verarbeitungsvorgang wahrscheinlich ein hohes Risiko mit sich bringt. Weitere Beispiele finden sich in den Erwägungsgründen 71, 75, 89 und 91 sowie in Art. 35 Abs. 1 DSGVO.
Das Wort „insbesondere“ im Einleitungssatz von Art. 35 Abs. 3 DSGVO verdeutlicht, dass diese Aufzählung nicht abschließend ist.
Für manche Verarbeitungsvorgänge, die hier nicht genannt sind und denen sich ein hohes Risiko zuordnen lässt, ist eine Datenschutz-Folgenabschätzung dennoch obligatorisch.
Beispielsweise liegt nach Ansicht des Europäischen Datenschutzausschusses ein voraussichtlich hohes Risiko regelmäßig dann vor, wenn ein Verarbeitungsvorgang zwei oder mehr der Kriterien erfüllt, die auf den Seiten 10 bis 12 der „Leitlinien zur Datenschutz-Folgenabschätzung (DSFA)“ dargestellt sind (siehe https://ogy.de/wp248).
4. Was passiert, wenn man zum Ergebnis gelangt „DSFA erforderlich“?
Können Sie nun der Datenschutz-Folgenabschätzung (DSFA) nicht mehr ausweichen, empfiehlt es sich, möglichst nah an aufsichtsbehördlichen Empfehlungen zu arbeiten. Wohl am detailliertesten setzt hier der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) an. Er stellt in Modulen anhand eines Fallbeispiels eine Methodik vor (siehe https://www.datenschutz-bayern.de/dsfa/).
Dabei findet auch das PIA-Tool Anwendung. Das ist eine Software, die die französische Datenschutz-Aufsichtsbehörde Commission Nationale de l‘Informatique et des Libertés (CNIL, Homepage: https://www.cnil.fr) bereitstellt. Herr Kosmas Schütz hat sie in Abstimmung mit dem BayLfD übersetzt. Dieses Tool ist kostenfrei downloadbar.
Herr Schütz hat das PIA-Tool in Datenschutz PRAXIS 05/2018 vorgestellt.
Spielen Sie doch einfach einmal anhand eines trivialen – also nicht wirklich DSFA-würdigen – und sehr simplen Verarbeitungsvorgangs eine Folgenabschätzung durch. Hierbei können Sie auch üben, wie Sie zwei der wichtigsten Kritikpunkte der niedersächsischen Datenschutzaufsicht ausräumen:
- Risikogruppen nachvollziehbar erklären
So beanstandet die LfD Niedersachsen in ihrer Querschnittsprüfung, dass Erklärungen zu den Risikogruppen fehlen:„Bei vielen der vorgelegten DSFAs war das methodische Vorgehen nicht nachvollziehbar. Dies war z.B. der Fall, wenn von einer „Schadensklasse 2“ die Rede war, ohne dass dieser Begriff näher erläutert wurde. Ähnlich war es, wenn ein Risiko als „gering“ eingestuft wurde, aber nicht deutlich wurde, warum.“
- Abhilfemaßnahmen, die der DSFA-Bericht darstellen muss, konkret beschreiben
Die Risikoanalyse ist die Grundlage für die Abhilfemaßnahmen, die der DSFA-Bericht darstellen muss. Hier ist im Bericht zur Querschnittsprüfung das zu lesen, was auch ich in der Zeit als externe Datenschutzbeauftragte bei Unternehmen häufig vorgefunden habe:„Darüber hinaus waren oft überhaupt keine konkreten Maßnahmen genannt. Wenn ein Verantwortlicher als Maßnahme lediglich „Verschlüsselung“ angab, blieb unklar, ob er damit meint, dass personenbezogene Daten verschlüsselt übertragen oder ob sie verschlüsselt gespeichert werden und welcher Verschlüsselungsalgorithmus jeweils zum Einsatz kommt. Auffällig war auch, dass Unternehmen auf bestehende Maßnahmen verwiesen, ohne dass diese konkretisiert wurden.“
Fazit: Die Datenschutz-Folgenabschätzung ist ein fortlaufender Prozess
Vor der DSFA ist während der DSFA ist nach der DSFA. Die Datenschutzfolgenabschätzung ist nicht Selbstzweck, sondern ein aufwendiges Projekt.
Sie beginnt, sobald ein Vorgang in Planung ist, der mit entsprechendem Risiko behaftet ist. Und sie endet nicht, wenn jemand den DSFA-Bericht geschrieben hat. Sondern die Folgenabschätzung ist eine wiederkehrende Pflichtaufgabe in der Datenschutzorganisation, die Abhilfemaßnahmen umsetzt und regelmäßig überprüft.
Etablieren Sie in Ihrem Unternehmen eine fixe Methode, wonach sowohl Vorgänge mit hohem Risiko als auch solche Vorhaben mit voraussichtlich hohem Investitionserfordernis im Interesse der Rechtssicherheit stringent vor Einführung auf die Notwendigkeit einer DSFA geprüft werden.
Und jedenfalls in meinen Augen ist jede einzelne Datenschutz-Folgenabschätzung spannend. Denn sie bietet die Gelegenheit, einen Verarbeitungsvorgang vertieft zu ergründen und ihn datenschutzkonform, stabil und sicher aufzusetzen.