Datenschutz- Folgenabschätzung

Die Datenschutz-Folgenabschätzung (kurz: DSFA) ist eines der wichtigsten Elemente der Datenschutz-Grundverordnung (DSGVO) und stellt eine zentrale Pflicht dar, die viele Organisationen, die Daten verarbeiten, früher oder später (ggf. auch nie) nachkommen müssen. Dies hängt immer von der Art der Daten und deren Verarbeitung ab. Sinn und Zweck dieses Instruments ist, den Schutz von personenbezogenen Daten betroffener Personen sicherzustellen. Der DSFA liegt eine Risikoanalyse zu Grunde, wie man sie auch aus anderen Bereichen des täglichen (Wirtschafts-)Lebens kennt. Ermittelt werden Schadenspotenziale und Eintrittswahrscheinlichkeiten von theoretisch möglichen Ereignissen, wie z.B. Hacking, Datenverlust durch Brand usw.

Die daraus resultierenden potenziellen Folgen werden bewertet (besteht ein hohes oder ein vertretbares Risiko?) und auf Basis dessen entschieden, ob eine Datenverarbeitung erfolgen darf. Letztendlich liegt es also auch im Interesse der Organisation, eine DSFA durchzuführen, um damit Risiken und daraus entstehenden Sanktionen der Datenschutzaufsicht zu entgehen.

Grundsätzlich gilt, dass eine DSFA durchgeführt werden muss, wenn die „Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Der Wortlaut bezieht sich auf eine Verarbeitung. Es kann in jeder Organisation mehrere (geplante) Verarbeitungstätigkeiten geben, die die Durchführung einer DSFA notwendig machen geregelt in Artikel 35 Absatz 3 der DSGVO. Dies gilt insbesondere bei Verarbeitungstätigkeiten folgender Kriterien:

Sollte es im Zweifelsfall nicht ganz eindeutig sein, ob eine DSFA durchgeführt werden muss oder nicht, weil die Abschätzung des Risikos nur schwer möglich ist, sollte man immer auf Nummer sicher gehen und eine Abschätzung durchführen, auch um Sanktionen von Aufsichten zu entgehen. Diese muss dann spätestens drei Jahre später erneut durchgeführt werden.

Auch bei der Anwendung von Rechtsgrundlagen außerhalb der DSGVO kann es erforderlich sein, eine Datenschutz-Folgenabschätzung durchzuführen. So sind auch Organisationen, die dem evangelischen (DSG-EKD) oder katholischen (KDG) Datenschutzrecht unterliegen bei der Erfüllung entsprechender Voraussetzungen nicht von einer Vorabkontrolle in Form einer DSFA befreit.

Inhalte jeder Datenschutz-Folgenabschätzung sind:

Aus dieser Auflistung wird die Komplexität einer DSFA deutlich: Verantwortliche Stellen sind dazu aufgefordert, ihre Verarbeitungstätigkeiten sowie ihre technischen und organisatorischen Maßnahmen (TOM) dokumentiert vorliegen zu haben. Andernfalls kann eine Bewertung, ob von extern oder intern, nicht sachgemäß durchgeführt werden. Im Umkehrschluss bedeutet dies, dass auch eine Aufsichtsbehörde nicht erkennen kann, ob die TOM ausreichen, um einen Schutz zu gewährleisten. Im Zweifel kann sie dann die Verarbeitung untersagen und Bußgelder aussprechen.

Jede DSFA beginnt mit einer Schwellwertanalyse. Aus dieser Grundlage geht hervor, ob eine DSFA durchzuführen ist – oder eben nicht. Ergibt die Prüfung, dass keine DSFA durchzuführen ist, ist auch dieses „Ergebnis“ dokumentiert festzuhalten, inklusive einer aussagekräftigen Begründung.

Sollte die Schwellwertanalyse ergeben, dass eine DSFA durchzuführen ist, gilt es noch zu prüfen, ob bereits für ähnliche Verarbeitungsvorgänge eine DSFA durchgeführt wurde. Ist dies der Fall, könnte eine erneute DSFA unter Umständen obsolet sein.

Um einschätzen zu können, ob eine Datenschutz-Folgenabschätzung für den jeweiligen Verarbeitungsvorgang notwendig ist, sollte eine Vorababschätzung der Risiken durchgeführt werden. Hier muss das potenzielle Risiko für betroffene Personen abgeschätzt werden. Die Abschätzung ist zu dokumentieren. Es ist nicht immer notwendig, das Rad neu zu erfinden – bei ähnlichen Vorgängen genügt oft eine Einschätzung, sofern das Risiko vergleichbar ist.

Wie lässt sich so ein Risiko aber nun abschätzen? Zunächst sollte eingeschätzt werden, welche Daten von einem Verarbeitungsvorgang betroffen sind und wie schutzbedürftig diese sind (bspw. Kundendaten vs. Gesundheitsdaten). Dieses Vorgehen nennt sich Schutzbedarfsfeststellung.

Hinsichtlich des Schutzbedarfs gibt es verschiedene Stufen. Beim „normalen“ Schutzbedarf liegen nur geringfügige Schäden bei Veröffentlichung vor. Hierbei kann es sich zum Beispiel um die Veröffentlichung von Kontaktdaten handeln. Bei „hohem“ Schutzbedarf geht es bereits um sensible Daten mit hohen potenziellen Folgeschäden bei einer unrechtmäßigen Veröffentlichung. Hierzu zählen bspw. Steuerdaten oder Personaldaten. Bei „sehr hohem“ Schutzbedarf sprechen wir bereits von der Verletzung von Persönlichkeitsrechten, hierzu zählt bspw. die Veröffentlichung von Adressen von Zeugen in Strafverfahren.

Die Bewertung dieser Risiken muss stets objektiv geschehen und unter Berücksichtigung der Eintrittswahrscheinlichkeit. Wenn die Bewertung ergibt, dass ein hohes Risiko für Betroffene besteht, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.