Der europäische Gesetzgeber hat die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG) nicht in die Datenschutz-Grundverordnung (DSGVO) übernommen. Sie wurde durch die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) abgelöst und ersetzt.
1.1 Was ist eine DSFA?
Eine Datenschutz-Folgenabschätzung (im Folgenden: DSFA) ist ein Verfahren, anhand dessen der Verantwortliche eine Datenverarbeitung (Verarbeitung von personenbezogenen Daten), die voraussichtlich zu einem hohen Risiko für die betroffenen Personen führt, beschreibt. Ihre Notwendigkeit und Verhältnismäßigkeit bewertet und im Ergebnis ihre Risiken für die betroffenen Personen durch die Ermittlung von Gegenmaßnahmen zumindest reduziert.
Sie ist somit ein Instrument, um das Risiko zu erkennen und zu bewerten, das für die betroffene Person (z. B. Kunde, Patient, Mitarbeiter, etc.) durch die Durchführung der Verarbeitung durch das Unternehmen (den Verantwortlichen) entsteht.
Ziel einer DSFA ist es, Kriterien des operationalisierten Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschiedenen Rollen und damit verbundenen Interessen so zu bewerten, dass typischen Angriffen durch Organisationen mit adäquaten Gegenmaßnahmen begegnet werden kann.
1.2 Was bedeutet das für die Praxis?
Die DSFA erfüllt damit die Funktion eines „Frühwarnsystems“ und es wird erwartet, dass dieses möglichst bereits in der Entwicklungsphase beginnt. Sie ist in jedem Fall aber vor Beginn der jeweiligen Verarbeitungstätigkeit durchzuführen. Das Konzept basiert auf dem Grundsatz des risikobasierten Datenschutzes und einer detaillierten Risikoanalyse durch den Verantwortlichen der eigenen Datenverarbeitung. Übergeordnetes Ziel ist die Sicherheit der Verarbeitung und die Vermeidung von Verstößen somit trägt sie zur Risikominimierung bei.
Für die Praxis bedeutet dies, dass der Verantwortliche stets sämtliche Verarbeitungsvorgänge auf mögliche Risiken untersuchen muss. An das Ergebnis dieser allgemeinen Risikoanalyse knüpfen dann verschiedene Pflichten an. Ergibt sich ein „voraussichtlich hohes Risiko“, ist eine vollumfängliche DSFA erforderlich. Eine DSFA ist folglich auch dann erforderlich, wenn sich ein „voraussichtliches hohes Risiko“ durch technisch-organisatorische Maßnahmen im Ergebnis vermeiden lässt. Der Sinn und Zweck einer DSFA ist es gerade, im Falle von riskanten Verarbeitungen die Effektivität möglicher Abhilfemaßnahmen zu bewerten.
1.3 Wer ist für die DSFA verantwortlich?
Für die Durchführung ist generell das Unternehmen als verantwortliche Stelle, die oberste Leitung (Geschäftsführung, Vorstand), verantwortlich. Die eigentliche Durchführung der DSFA kann jedoch und wird in der Regel durch eine andere Person erfolgen. Vielfach wird der Unternehmensbereich (Prozessverantwortlicher), der für die Verarbeitung verantwortlich ist/sein wird bzw. diese durchführt, die DSFA federführend durchführen. Der für die Verarbeitung Verantwortliche bleibt jedoch alleinverantwortlich für die ordnungsgemäße Durchführung und ist dementsprechend auch zur Rechenschaft verpflichtet. Der Datenschutzbeauftragte (DSB) ist zumindest beratend einzubinden und er sollte die Durchführung begleiten (Art. 35 Abs. 2 DSGVO).
Die Durchführung einer DSFA gehört somit nicht zu den Aufgaben eines Datenschutzbeauftragten, dies ist aufgrund des Interessenkonfliktes auch nachvollziehbar. Der DSB kann unterstützend beraten und er hat nach Erstellung und Zurverfügungstellung durch den Verantwortlichen, die Dokumentation der DSFA zu prüfen und seiner Kontroll- und Überwachungsfunktion gemäß Art. 39 DSGVO nachzukommen sowie das Ergebnis zu dokumentieren. Dies ist ggf. verbunden mit Empfehlungen von Abhilfemaßnahmen und Minimierung des Verarbeitungsrisikos für die betroffenen Personen.
1.4 Durchführung und Dokumentation
Die DSFA ist vor Beginn einer Verarbeitung durchzuführen und regelmäßig zu überprüfen. Bei mehreren ähnlichen Verarbeitungsvorgängen mit ähnlich hohen Risiken reicht eine gemeinsame Abschätzung.
Erweiterte Dokumentationspflichten entstehen bei einem Datentransfer in ein Drittland. Hier sind die Risikoabschätzung, die Schwellenwertanalyse und die ergriffenen Schutzmaßnahmen nach Art. 28 und Art. 49 DSGVO zu dokumentieren und zum Gegenstand des Verarbeitungsverzeichnisses zu machen.
Weitere umfangreiche Dokumentationspflichten bestehen zwecks Erfüllung der Transparenzregelungen gegenüber den betroffenen Personen (Artt. 12 – 22, 34 DSGVO).
1.5 Inhalte einer DSFA (Auszug)
Spezifische Eintrittswahrscheinlichkeit und die Schwere des Risikos sind unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos zu bewerten. Notwendig ist die Dokumentation der Maßnahmen, Garantien und Verfahren, welche das Risiko eindämmen.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
(Autorin: Regina Mühlich, 07.08.2020)