Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung

Der eu­ro­päi­sche Ge­setz­ge­ber hat die bis­he­ri­ge Vor­ab­kon­trol­le (§ 4d Abs. 5 BDSG) nicht in die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) über­nom­men. Sie wurde durch die Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (Art. 35 DSGVO) ab­ge­löst und ersetzt.

1.1       Was ist eine DSFA?

Eine Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (im Fol­gen­den: DSFA) ist ein Ver­fah­ren, anhand dessen der Ver­ant­wort­li­che eine Da­ten­ver­ar­bei­tung (Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten), die vor­aus­sicht­lich zu einem hohen Risiko für die be­trof­fe­nen Per­so­nen führt, be­schreibt. Ihre Not­wen­dig­keit und Ver­hält­nis­mä­ßig­keit be­wer­tet und im Er­geb­nis ihre Risiken für die be­trof­fe­nen Per­so­nen durch die Er­mitt­lung von Ge­gen­maß­nah­men zu­min­dest reduziert.

Sie ist somit ein In­stru­ment, um das Risiko zu er­ken­nen und zu be­wer­ten, das für die be­trof­fe­ne Person (z. B. Kunde, Patient, Mit­ar­bei­ter, etc.) durch die Durch­füh­rung der Ver­ar­bei­tung durch das Un­ter­neh­men (den Ver­ant­wort­li­chen) entsteht.

Ziel einer DSFA ist es, Kri­te­ri­en des ope­ra­tio­na­li­sier­ten Grund­rechts­schut­zes zu de­fi­nie­ren, die Folgen von Da­ten­ver­ar­bei­tungs­prak­ti­ken mög­lichst um­fas­send zu er­fas­sen sowie ob­jek­tiv und nach­voll­zieh­bar mit Blick auf die ver­schie­de­nen Rollen und damit ver­bun­de­nen In­ter­es­sen so zu be­wer­ten, dass ty­pi­schen An­grif­fen durch Or­ga­ni­sa­tio­nen mit ad­äqua­ten Ge­gen­maß­nah­men be­geg­net werden kann.

1.2       Was be­deu­tet das für die Praxis?

Die DSFA erfüllt damit die Funk­ti­on eines „Früh­warn­sys­tems“ und es wird er­war­tet, dass dieses mög­lichst bereits in der Ent­wick­lungs­pha­se beginnt. Sie ist in jedem Fall aber vor Beginn der je­wei­li­gen Ver­ar­bei­tungs­tä­tig­keit durch­zu­füh­ren. Das Konzept basiert auf dem Grund­satz des ri­si­ko­ba­sier­ten Da­ten­schut­zes und einer de­tail­lier­ten Ri­si­ko­ana­ly­se durch den Ver­ant­wort­li­chen der eigenen Da­ten­ver­ar­bei­tung. Über­ge­ord­ne­tes Ziel ist die Si­cher­heit der Ver­ar­bei­tung und die Ver­mei­dung von Ver­stö­ßen somit trägt sie zur Ri­si­ko­mi­ni­mie­rung bei.

Für die Praxis be­deu­tet dies, dass der Ver­ant­wort­li­che stets sämt­li­che Ver­ar­bei­tungs­vor­gän­ge auf mög­li­che Risiken un­ter­su­chen muss. An das Er­geb­nis dieser all­ge­mei­nen Ri­si­ko­ana­ly­se knüpfen dann ver­schie­de­ne Pflich­ten an. Ergibt sich ein „vor­aus­sicht­lich hohes Risiko“, ist eine voll­um­fäng­li­che DSFA er­for­der­lich. Eine DSFA ist folg­lich auch dann er­for­der­lich, wenn sich ein „vor­aus­sicht­li­ches hohes Risiko“ durch tech­­nisch-or­­ga­­ni­­sa­­to­ri­­sche Maß­nah­men im Er­geb­nis ver­mei­den lässt. Der Sinn und Zweck einer DSFA ist es gerade, im Falle von ris­kan­ten Ver­ar­bei­tun­gen die Ef­fek­ti­vi­tät mög­li­cher Ab­hil­fe­maß­nah­men zu bewerten. 

1.3       Wer ist für die DSFA verantwortlich?

Für die Durch­füh­rung ist ge­ne­rell das Un­ter­neh­men als ver­ant­wort­li­che Stelle, die oberste Leitung (Ge­schäfts­füh­rung, Vor­stand), ver­ant­wort­lich. Die ei­gent­li­che Durch­füh­rung der DSFA kann jedoch und wird in der Regel durch eine andere Person er­fol­gen. Viel­fach wird der Un­ter­neh­mens­be­reich (Pro­zess­ver­ant­wort­li­cher), der für die Ver­ar­bei­tung ver­ant­wort­lich ist/sein wird bzw. diese durch­führt, die DSFA fe­der­füh­rend durch­füh­ren. Der für die Ver­ar­bei­tung Ver­ant­wort­li­che bleibt jedoch al­lein­ver­ant­wort­lich für die ord­nungs­ge­mä­ße Durch­füh­rung und ist dem­entspre­chend auch zur Re­chen­schaft ver­pflich­tet. Der Datenschutz­beauftragte (DSB) ist zu­min­dest be­ra­tend ein­zu­bin­den und er sollte die Durch­füh­rung be­glei­ten (Art. 35 Abs. 2 DSGVO).

Die Durch­füh­rung einer DSFA gehört somit nicht zu den Auf­ga­ben eines Da­ten­schutz­be­auf­trag­ten, dies ist auf­grund des In­ter­es­sen­kon­flik­tes auch nach­voll­zieh­bar. Der DSB kann un­ter­stüt­zend beraten und er hat nach Er­stel­lung und Zur­ver­fü­gung­stel­lung durch den Ver­ant­wort­li­chen, die Do­ku­men­ta­ti­on der DSFA zu prüfen und seiner Kon­­­troll- und Über­wa­chungs­funk­ti­on gemäß Art. 39 DSGVO nach­zu­kom­men sowie das Er­geb­nis zu do­ku­men­tie­ren. Dies ist ggf. ver­bun­den mit Emp­feh­lun­gen von Ab­hil­fe­maß­nah­men und Mi­ni­mie­rung des Ver­ar­bei­tungs­ri­si­kos für die be­trof­fe­nen Personen.

1.4       Durch­füh­rung und Dokumentation

Die DSFA ist vor Beginn einer Ver­ar­bei­tung durch­zu­füh­ren und re­gel­mä­ßig zu über­prü­fen. Bei meh­re­ren ähn­li­chen Ver­ar­bei­tungs­vor­gän­gen mit ähnlich hohen Risiken reicht eine ge­mein­sa­me Abschätzung.

Er­wei­ter­te Do­ku­men­ta­ti­ons­pflich­ten ent­ste­hen bei einem Da­ten­trans­fer in ein Dritt­land. Hier sind die Ri­si­ko­ab­schät­zung, die Schwel­len­wert­ana­ly­se und die er­grif­fe­nen Schutz­maß­nah­men nach Art. 28 und Art. 49 DSGVO zu do­ku­men­tie­ren und zum Ge­gen­stand des Ver­ar­bei­tungs­ver­zeich­nis­ses zu machen.

Weitere um­fang­rei­che Do­ku­men­ta­ti­ons­pflich­ten be­stehen zwecks Er­fül­lung der Trans­pa­renz­re­ge­lun­gen ge­gen­über den be­trof­fe­nen Per­so­nen (Artt. 12 – 22, 34 DSGVO).

1.5       Inhalte einer DSFA (Auszug)

Spe­zi­fi­sche Ein­tritts­wahr­schein­lich­keit und die Schwere des Risikos sind unter Be­rück­sich­ti­gung der Art, des Umfangs, der Um­stän­de und der Zwecke der Ver­ar­bei­tung und der Ur­sa­chen des Risikos zu be­wer­ten. Not­wen­dig ist die Do­ku­men­ta­ti­on der Maß­nah­men, Ga­ran­tien und Ver­fah­ren, welche das Risiko eindämmen.

Wenn Sie Fragen haben, kon­tak­tie­ren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lö­sun­gen für pro­fes­sio­nel­len und fach­kun­di­gen Datenschutz.
Daten­schutz ist kein Produkt. Daten­schutz ist ein Prozess.

(Autorin: Regina Mühlich, 07.08.2020)