Art. 35 Abs.1 DSGVO (vgl. § 34 DSG-EKD/ § 35 KDG) besagt:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch […].“
Der Verantwortliche hat also vor der Einführung neuer Verarbeitungstätigkeiten ggf. eine DSFA durchzuführen. Vielen Verantwortlichen fehlt allerdings das Bewusstsein zur richtigen Einordnung einer möglicherweise Notwendigkeit. Die Datenschutzgrundverordnung liefert demgegenüber auch keine klaren Definitionen, was beispielsweise unter einem hohen Risiko zu verstehen ist. Selbst der Blick in die Erwägungsgründe hilft dort nur bedingt weiter. Insbesondere die Erwägungsgründe 75 oder 94 S.2 fassen zwar den Begriff auf: “Ein solches hohes Risiko ist wahrscheinlich mit bestimmten Arten der Verarbeitung und dem Umfang und der Häufigkeit der Verarbeitung verbunden, die für natürliche Personen auch eine Schädigung oder eine Beeinträchtigung der persönlichen Rechte und Freiheiten mit sich bringen können.“, lassen aber immer noch Raum zur Interpretation.
Methodische Herangehensweise:
Daher ist es erforderlich, sich für das „Wann“ und „Wie“ an Materialien unterschiedlicher Institutionen zu orientieren.
Das „Wann“ lässt sich entweder mittels des Standard-Datenschutz-Modelles der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder und der darin definierten Schwellwertanalyse bestimmen, oder eine Verarbeitung befindet sich bereits in den sogenannten „Muss-Listen“ der einzelnen Datenschutzaufsichtsbehörden. Letztlich bedarf es auch eines Blickes in das Working Paper 248 des Europäischen Datenschutzausschusses, aus welchem sich ebenfalls Fälle ergeben können, in denen ein hohes Risiko anzunehmen ist.
Hat der Verantwortliche nun entschieden, dass die Notwendigkeit einer DSFA gegeben ist, stellt sich die Frage, welche Inhalte ein solches Papier denn abbilden muss.
- Art. 35 Abs.7 DSGVO bestimmt zwar Mindestinhalte, allerdings sind auch diese in viele Richtungen interpretierbar und stellen nicht die notwendige Tiefe dar.
- Das Kurzpapier Nr. 5 der Datenschutzkonferenz beschäftigt sich mit der Thematik, kann aber wohl ebenfalls noch nicht als allumfassend angesehen werden.
Letztlich dient eine DSFA als Nachweis gegenüber den Datenschutzaufsichtsbehörden, sich im Vorfeld mit den Folgen befasst zu haben und die Risiken derart für den Betroffen minimiert zu haben, dass kein hohes Risiko mehr vorliegt. Es bietet sich daher an, sich an den Anfordernissen der Aufsichtsbehörden zu orientieren, um seiner Nachweispflicht bestmöglich nachzukommen. Eine methodische Herangehensweise ist also nötig. Die wohl umfangreichste Handreichung der methodischen Erstellung hat wahrscheinlich die niedersächsische Datenschutzbehörde mit ihrer sogenannten „ZAWAS“-Methode (Prozess zur Auswahl angemessener Sicherungsmaßnahmen) veröffentlicht. Die ZAWAS-Methode ist interdisziplinär aufgebaut und betrachtet dadurch auch intensiv den technischen Datenschutz. Einfluss in diese Methodik haben insbesondere das Standarddatenschutzmodell, die DSK-Kurzpapiere (z. B. Nr. 5 und Nr. 18) und der BSI-Grundschutz gefunden. Hierdurch wird dem Anwender ermöglicht, eine den Anforderungen der Datenschutzbehörden annähernd vollumfängliche Betrachtung nachweisen zu können und insbesondere komplexe Verarbeitungsvorgänge zu analysieren.
Gerne unterstützen wir Sie hierbei beratend – kommen Sie doch einfach auf uns zu!