Wie funktioniert eine Datenschutzfolgeabschätzung (Teil 1)

Es ist der Graus eines jeden Verantwortlichen. Die Durchführung einer Datenschutzfolgeabschätzung. Sicherlich ist dies nicht gerade eine der dankbarsten und einfachsten Aufgaben die als Verantwortlicher zu erfüllen sind. Aber wann muss ich das überhaupt machen und was ist dann deren Inhalt? Gibt es Mustervorgehen und Hilfestellungen? Dieser Artikel fasst einen Teil der bisherigen Informationen der Aufsichtsbehörden und der eigenen praktischen Erfahrung in diesem Gebiet zusammen.

Kommen wir aber zunächst einmal zu wieso, weshalb, warum!

Was ist eine Datenschutzfolgeabschätzung?

Eine Datenschutzfolgeabschätzung (DSFA) ist nach EU DSGVO immer dann anzuwenden, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. […]“ (Art. 35 Abs. 1 S. 1 EU DSGVO).

Welche Rolle spielt der Datenschutzbeauftragte?

Nach Art. 35 Abs. 2 holt der Verantwortliche den Rat seines Datenschutzbeauftragten (DSB), sofern ein solcher benannt wurde für die Durchführung einer DSFA ein. Das neue Bundesdatenschutz (BDSG) nutzt hier allerdings die in der EU DSGVO genannten Öffnungsklauseln und fordert von einem Verantwortlichen (und auch Auftragsdatenverarbeiter) unabhängig von der Anzahl seiner Beschäftigten die Benennung eines Datenschutzbeauftragten, wenn eine DSFA durchgeführt werden muss. (§ 38 Abs. 1 S. 2 BDSG)

Wann muss eine DSFA durchgeführt werden?

Die Aufsichtsbehörden der Bundesländer haben hierfür die nach EU DSGVO geforderten „blacklists“ herausgegeben. Einige Landesbehörden haben noch keine Veröffentlichungen getätigt oder Verweisen auf den Beschluss der Bundesdatenschutzkonferenz der Landesbeauftragten.

https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf

Landesspezifische Listen die mit der Datenschutzkonferenzliste großteils übereinstimmen oder diese sinnvoll ergänzen liegen u.a. aus Niedersachsen vor.

Nicht-öffentliche Stellen:

https://www.lfd.niedersachsen.de/download/134415/DSFA_Muss-Liste_fuer_den_nicht-oeffentlichen_Bereich.pdf

Öffentliche Stellen:

https://www.lfd.niedersachsen.de/download/134414/DSFA_Muss-Liste_fuer_den_oeffentlichen_Bereich.pdf

Wichtig dabei ist, dass es sich um keine abschließenden Listen oder Empfehlungen handelt. Eine DSFA ist bei den genannten Verarbeitungsvorgängen aus Sicht der Aufsichtsbehörden unumgänglich, allerdings kann es selbstverständlich aufgrund der Vielzahl an Verarbeitungstätigkeiten, Vorgänge geben die nicht abschließend erschöpfend aufgeführt wurden. Somit ist der Verantwortliche stets in der Pflicht zu prüfen, ob er Verarbeitungen vornimmt die einer DSFA unterliegen und diese dann durchzuführen.

Was beinhaltet eine DSFA?

Die Mindestpunkte einer DSFA sind in Art. 35 Abs. 7 geregelt. Danach müssen mindestens die Punkte:

  • Systematische Vorgangsbeschreibung (ggf. inkl. berechtigter Interessen),
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen,
  • Maßnahmen die das Risiko minimieren (einschl. Garantien, Sicherheitsvorkehrungen, etc.) und
  • der Nachweis erbracht werden, dass die DSGVO eingehalten wird

in einer DSFA abgearbeitet und aufgeführt werden.

Wie wird eine DSFA durchgeführt?

Siehe hierfür das beigefügte Working-Paper mit Abläufen und weiteren Mustern.

Welche Rolle spielen die Aufsichtsbehörden?

Neben der Veröffentlichung von „blacklists“ sind die Aufsichtsbehörden auch „whitslists“ zu veröffentlichen. Da es sich hierbei allerdings um eine „Kann-Regelung“ handelt ist davon auszugehen, dass diese Liste, zumindest nicht kurzfristig, zur Verfügung stehen. Darüber hinaus sind Vorgänge und der DSFA-Bericht der Behörde vorzulegen, wenn die Risiken für die Betroffenen nicht auf ein unkritisches Maß gesenkt werden können. Die Aufsichtsbehörde hat in diesem Fall die Möglichkeiten die Verarbeitung zu erlauben (ggf. mit Auflagen), mit Einschränkungen zu erlauben oder gänzlich zu untersagen.

Welche Konsequenzen gibt es, wenn keine DSFA durchgeführt wird?

Führt ein Verantwortlicher hochriskante Verarbeitungsvorgänge aus, ohne vorab eine DSFA durchgeführt zu haben, kann die jeweilige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DSGVO von ihren Befugnissen gemäß Art. 58 Abs. 2 EU DSGVO (z. B. Hinweisen, Untersagen, Verbieten) einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 EU DSGVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DSGVO offen.

Wie setze ich eine DSFA um?

Aufgrund der Länge des bisherigen Artikels habe ich mich entschlossen, einen zweiten Artikel zur Umsetzung zu schreiben.