Datenschutz Folgenabschätzung

Die Datenschutz-Grundverordnung (DS-GVO) regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.

Folgenabschätzung im Datenschutz: So geht man vor

Die Datenschutz-Grundverordnung (DS-GVO) regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein. Dies bedeutet: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DS-GVO an die Anwendung. Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.

Lässt sich das hohe Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren, ist für den Einsatz der Anwendung vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einzuholen.

Vorgehensweise

  • Für jede Verarbeitung ist mittels einer systematischen Risikoanalyse zu klären, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Das Ergebnis ist zu dokumentieren (z. B. bei der Beschreibung der Verarbeitung im sog. Verzeichnis für Verarbeitungstätigkeiten).
  • Für mehrere ähnliche Verarbeitungsvorgänge reicht eine Abschätzung, sofern diese ein ähnlich hohes Risiko haben.
  • Vorstufe einer Risikoanalyse ist eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten (Kundendaten, Mitarbeiterdaten, Steuerdaten, Gesundheitsdaten etc.)


Schutzbedarfskategorien - Schadensschwere

SchutzbedarfKlasseErläuterungen
Beeinträchtigung des Persönlichkeitsrechts
normal1Wäre für Betroffene als tolerabel einzustufen. Ein möglicher Datenmissbrauch hätte nur geringfügige Auswirkungen (wirtschaftlich/gesellschaftspolitisch) für Betroffene.
- Nicht zur Veröffentlichung bestimmte Daten
- Geringfügige Schäden bei Veröffentlichung/Verfälschung
hoch2Wäre für Betroffene als erheblich einzustufen. Ein möglicher Datenmissbrauch hätte erhebliche Auswirkungen (wirtschaftlich/gesellschaftspolitisch, ggf. Beeinträchtigung der persönlichen Unversehrtheit) für Betroffene.
- Sensible Daten
- Hohe Folgeschäden bei Veröffentlichung/Verfälschung
sehr hoch3Wäre für Betroffene als besonders bedeutsam und als nicht tolerabel einzustufen. Ein möglicher Datenmissbrauch bedeutet für Betroffene wirtschaftlichen/gesellschaftspolitischen Ruin oder beeinträchtigt die persönliche Unversehrtheit gravierend.
- Hochsensible Daten
- Veröffentlichung/Verfälschung verletzt Persönlichkeitsrechte, verursacht Schaden an Leib und Leben oder Ansehender Betroffenen

Beispiele einer Datenschutz Folgenabschätzung

Eine Eingriffsintensität, welche grundsätzlich einen höheren als normalen Schutzbedarf zur Folge hat, impliziert eine Verletzung sensitiver personenbezogener Daten wie z. B. über strafrechtliche Verurteilungen, über eine Fähigkeits-, Leistungs- und/oder Verhaltensbewertung, eindeutig identifizierende/hoch verknüpfbare Daten (u. a. Steuer-ID), Bank- und Kreditkartenkontendaten, berufsgeheimnisbezogene Daten (u. a. Ärzte, Betriebsräte) und besondere Kategorien personenbezogener Daten (u. a. genetische, biometrische Daten, Gesundheitsdaten, rassische und ethnische Herkunft).

Bestandteile einer Datenschutz-Folgenabschätzung

datenschutz_folgenabschaetzung
Quelle: Bayerisches Landesamt für Datenschutzaufsicht

Risikoanalyse

Das Datenschutzrisiko für den Betroffenen, dessen Daten verarbeitet werden (nicht ein Schadensrisiko für das Unternehmen), ist anhand objektiver Kriterien (Art, Umfang, Umstände und Zwecke einer Verarbeitung) zu bestimmen

  • nach der Eintrittswahrscheinlichkeit (zu berücksichtigen ist hier auch die Risiko-Quelle, also der Angreifer und ein durch diesen zu verursachender Schaden)
  • nach der Schwere des Schadens

Dies erfolgt in einer Skalierung
a) vernachlässigbar/begrenzt (grün)
b) wesentlich (gelb)
c) maximal (grün)

Nur wenn eine Risikoanalyse als Ergebnis ein hohes Risiko (in der Skalierung: ausschließlich die roten Felder) feststellt, ist eine Datenschutz-Folgenabschätzung durchzuführen.

Schaden

Ein Mensch kann durch eine Datenverarbeitung physische, materielle und immaterielle Schäden erleiden. Bezogen auf die geplante Anwendung ist zu klären, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können.

Beispielhaft nennt die DS-GVO hier

  • Diskriminierung
  • Identitätsdiebstahl
  • Rufschädigung
  • Finanzieller Verlust
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten
  • organisatorischen Maßnahmen (z. B. Datenschutzschulung von Mitarbeitern, interne Regelungen zum Datenschutz, Notfallkonzept) und
  • technischen Maßnahmen (z. B. Einsatz von Firewall und Virenscanner und deren zeitgemäßer Update, Verschlüsselung von Daten).
  • die Durchführung einer Risikoanalyse und
  • das Ergebnis der Analyse (vernachlässigbares/geringes, normales, hohes Risiko) und
  • einer darauf ggf. abzuleitenden Datenschutz-Folgenabschätzung
    • Ergebnis: keine Datenschutz-Folgenabschätzung, da Whitelist

Risikominimierung

Wer personenbezogene Daten verarbeiten will, ist verpflichtet, im Verhältnis zum Risiko nach dem Stand der Technik angemessene (nicht: neueste und teuerste) Maßnahmen zum Schutz der Daten zu ergreifen, diese regelmäßig, bei Bedarf sogar unverzüglich zu überprüfen und erforderlichenfalls upzudaten. In der Regel handelt es sich um eine Kombination aus

Nachweise hierüber zu erbringen (Dokumentation!)

Die Durchführung einer Datenschutz-Folgenabschätzung ist eine gesetzliche Pflicht. Deren Einhaltung müssen verantwortliche Stellen nachweisen. Der Nachweis ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DS-GVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.

Zu dokumentieren sind:

Datenschutzaufsichtsbehörden können (freiwillig) eine Liste von Verarbeitungstätigkeiten veröffentlichen, die aus ihrer Sicht nie hochrisikobehaftet sind und damit keiner Datenschutz-Folgen-abschätzung bedürfen.
Offen ist, ob die Datenschutzaufsichtsbehörden von dieser gesetzlichen Möglichkeit Gebrauch machen werden.

  • Kein hohes Risiko als Ergebnis der Prüfung
  • die Verarbeitung eine gesetzliche Aufgabe nach Art. 6 Abs. 1 c DS-GVO (Erfüllung einer rechtlichen Verpflichtung) oder Art. 6 Abs. 1 e DS-GVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt) ist und eine allgemeine ‎Datenschutz-Folgenabschätzung hierfür ist bereits bei Erlass der Rechtsgrundlage (z. B. Gewerberegister, Behördeninformationssystem) vorgenommen worden.
  • Ergebnis: Datenschutz-Folgenabschätzung
    • Blacklist
      Datenschutzaufsichtsbehörden müssen eine Blacklist veröffentlichen. Diese enthält Datenverarbeitungen, die aus Sicht der Datenschutzaufsicht generell ein hohes Risiko haben und daher stets (ohne weitere sonstige Prüfung) vor deren Einsatz eine Vorabkonsultation der Aufsicht erfordern.
    • Kein Fall der Blacklist, aber Ergebnis: hohes Risiko

Führen geeignete technische und/oder organisatorische Maßnahmen dazu, dass für die Daten Betroffener ein hohes Risiko in ein normales Risiko reduziert werden kann, ist keine Datenschutz-Folgenabschätzung durchzuführen. So muss ein hoher Schutzbedarf (z. B. biometrische Daten, Personalaktendaten) für sich allein nicht zwingend zu einem hohen Risiko führen, sondern nur dann, wenn gleichzeitig die Eintrittswahrscheinlichkeit für einen Vorfall hoch ist.

Mindestinhalt einer Datenschutz-Folgenabschätzung

Diesen legt die DS-GVO wie folgt fest

  • Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
  • Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
  • Risikobewertung (s. o.)
  • Geplante Abhilfemaßnahmen zur Bewältigung der Risiken
  • Der Verantwortliche hat eine Datenschutz-Folgenabschätzung durchzuführen.
  • Ferner hat er vor einem Einsatz einer derartigen Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren und
  • deren Entscheidung (z. B. Einsatz nur nach Ergreifung weiterer Schutzmaßnahmen, Verbot der geplanten Verarbeitung) zu beachten.

Verbleibt ein hohes Restrisiko, bedeutet dies Folgendes:

  • Der Verantwortliche hat eine Datenschutz-Folgenabschätzung durchzuführen.
  • Ferner hat er vor einem Einsatz einer derartigen Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren und
  • deren Entscheidung (z. B. Einsatz nur nach Ergreifung weiterer Schutzmaßnahmen, Verbot der geplanten Verarbeitung) zu beachten.

Rolle des Datenschutzbeauftragten bei der Folgenabschätzung

Hat eine verantwortliche Stelle freiwillig oder aufgrund gesetzlicher Vorgabe einen betrieblichen Datenschutzbeauftragten bestellt, so legt die DS-GVO bezogen auf Datenschutz-Folgenabschätzungen Folgendes fest:

Die verantwortliche Stelle hat den Rat des Datenschutzbeauftragten einzuholen.

Zu den Aufgaben eines Datenschutzbeauftragten gehört auf Anfrage die Beratung im Zusammenhang mit der Durchführung einer Datenschutz-Folgenabschätzung und die Überwachung ihrer Durchführung.

Offen und zu klären ist noch, ob die Durchführung einer Datenschutz-Folgenabschätz-ung intern als Aufgabe auf den Datenschutzbeauftragten übertragen werden kann; denn dieser ist zugleich zu deren Prüfung verpflichtet und müsste sich in diesem Fall selbst prüfen.

Publikationen: Bitkom e. V., Leitfaden „Risk Assessment & Datenschutz-Folgenabschätzung,