Wie funktioniert eine Datenschutzfolgeabschätzung (Teil 2)

Im ersten Teil meines Artikels zur Datenschutzfolgeabschätzung (DSFA) habe ich erläutert, wieso, weshalb warum überhaupt eine DSFA gemacht werden muss. Kommen wir jetzt mal zum relevanten Teil für die Praxis.

Die Aufsichtsbehörde in Bayern hat 2017 mit anderen Behörden zusammen ein Musterplanspiel zur DSFA durchgeführt. Hab ich hier einmal verlinkt. Witzigerweise wird innerhalb der Auswertung/des Ergebnisses auf folgendes verwiesen: “Das BayLDA arbeitet momentan an Anwendungshinweisen zur Umsetzung einer DSFA mittels der ISO 29134 für die Datenschutzgrundverordnung. Diese wird vermutlich im Herbst 2019 auf der Webseite des BayLDA veröffentlicht.”. Mit einer verbindlichen Vorgehensweise ist also, selbst bei der in meinen Augen gut aufgestellten bayrischen Behörde, nicht vor Ende des nächsten Jahres zu rechnen. Mich persönlich hat das schon sehr erstaunt, da man das Planspiel immerhin schon einmal durchgeführt hat (und zwar auf Basis des Standard-Datenschutz-Modells unter Einbeziehung der ISO 29134) und dieses im Ergebnis als gute Richtschnur befunden hat. Aber sei es drum.

Darüber hinaus, waren die Kollegen der französischen Aufsichtsbehörde bereits im Jahr 2016(!) in der Lage über einen Ablauf zur DSFA zu informieren. Die entsprechenden Artikel (Stand Feb. 2018, auf Englisch) mit praktischen Tipps und anderen Dingen gibt es hier zu finden:

https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methodology.pdf

https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-en-templates.pdf

https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-en-knowledgebases.pdf

Alles in allem habe ich mit einigen Kunden erprobt, was gerade in kleinen und mittleren Unternehmen (KMU) sinnvoll erscheint und dem (in meinen Augen) Sinn und Zweck der Datenschutzfolgeabschätzung erfüllt. Letztlich ist ein Verantwortlicher in einem KMU wohl mit den folgenden 16 Schritten und der zur Verfügung gestellten Exceltabelle schon einmal ganz gut unterwegs. Als Basis liegt das Kurzpapier Nr. 5 des Deutschen Datenschutzkonferenz zur DSFA zu Grunde, sowie die Fallstudie des LDA Bayern und die Daten der französischen Aufsicht. Ich bin gespannt wie sich dieses Themenfeld in Zukunft entwickeln wird.

In 16 Schritte zur erfolgreichen Datenschutz-Folgeabschätzung

1. Datenschutz-Folgeabschätzungsteam zusammenstellen

Sobald der Verantwortliche erkennt, dass eine DSFA erforderlich ist sollte er für die Durchführung ein DSFA-Team zusammenstellen. Mitglieder dieses Teams sollten aus den folgenden Bereichen gehören:

  • (Vertreter) Verantwortlicher
  • Organisation/Prozesssteuerung
  • Datenschutzkoordination (wenn z.B. externer DSB bestellt)
  • Datenschutzbeauftragter
  • IT-Administration
  • Person aus dem Kreis welches die Daten verarbeitet
  • Betroffene
  • Auftragsverarbeiter
  • weitere Dritte

Wichtig ist auf die interdisziplinäre Zusammenstellung des Teams zu achten, und die Kompetenzen in den Bereichen Datenschutz, Risikomanagement und Fachprozesse vorzuhalten.

Natürlich ist es denkbar, dass die Teams größer oder auch kleiner ausfallen. Insbesondere bei Klein(st)betrieben werden schon allein aus Gründen der Personenzahl weniger Personen an einer DSFA teilnehmen können, als dies bei größeren Organisationen möglich ist.

2. Prüfplan erstellen

Erstellung eines Ablauf- und Prüfplan mit Projektmanagement-Methoden (Ziele, Meilensteine, Zuständigkeiten, Checks, etc.)

3. Festlegung des Beurteilungsumfanges/Identifikation der Verarbeitungsvorgänge

Ermittlung des Verarbeitungsvorgangs (der Vorgänge) die betrachtet werden sollen. Wichtig ist hierbei die Abgrenzung zu Vorgängen die nicht betrachtet werden. Im Folgenden werden alle Prozesse ausführlich beschrieben inkl. sämtlicher Datenflüsse und den beabsichtigten Zwecken für die die Daten erhoben werden. Für die Dokumentation bietet sich eine formale Prozessbeschreibungssprache wie z.B. BPMN (Business Process Modelling Notation) an. Vielleicht liegen solche Modell auch schon vor? ISO 9001 lässt grüßen!

4. Identifikation und Einbindung

Das DSFA-Team identifiziert Betroffene und weitere Akteure der Datenverarbeitung. Diese sind im Zuge der DSFA ggf. um Stellungnahmen zu bitten bzw. zu beteiligen (z. B. Personal- oder Betriebsräte).

5. Bewertung Notwendigkeit/Verhältnismäßigkeit der Verarbeitung im Bezug zum Zweck

Die beschriebenen Verarbeitungsvorgänge (siehe 3.) werden ausgehend von ihrem Zweck bewertet und zwar dahin, ob die Einschränkungen von Rechten und Freiheiten der Betroffenen nicht in einem Missverhältnis zueinanderstehen. Hierzu sind insbesondere alternative Vorgehensweisen zu prüfen und die Überlegung zu treffen, ob die Verarbeitung überhaupt notwendig ist und somit die Rechte der Betroffenen besser gewahrt bleiben. Eventuell werden hier bereits erste Änderungen hinsichtlich der Beteiligten, Abläufe, genutzter Technologien etc. festgelegt die zur Beschränkung der Verarbeitung der erhobenen Daten führen können.

6. Identifikation der Rechtsgrundlage

Aufbauend auf den Punkt 5 werden nun die Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO ggf. in Verbindung mit nationalen Gesetzen festgehalten. Insbesondere die Abwägung bei der Wahl von Art. 6 Abs. 1 lit. f) ist besonders zu dokumentieren. Gleichwohl gilt eine hinreichende Dokumentation allerdings auch bei allen anderen Erlaubnistatbeständen als notwendig.

7. Modellierung der Risikoquellen

Identifizierung der möglichen Risikoquellen für die Rechte und Freiheiten von natürlichen Personen. Dies sind zum einen technische, organisatorische wie auch menschliche Risikoquellen. Welche Personen(-gruppen) haben zum Beispiel ein Interesse an der Manipulation von Daten oder können diese unrechtmäßig nutzen? Welche Beweggründe liegen zugrunde? Hierzu kann die DSFA-Mustermatrix (Excel-Datei) als Ausgangspunkt genutzt werden.

8. Risikobeurteilung

Es folgt die Beurteilung von Risiken die die Freiheiten und Rechte von Betroffenen einschränken können. Potenzielle Risiken bzw. eintretende Schäden können physischer, materieller als auch immaterieller Natur sein. Neben den Risiken sind auch deren Schwere und Eintrittswahrscheinlichkeit zu definieren und auszuwerten.

9. Geeignete Abhilfemaßnahmen auswählen

Basierend auf den ermittelten Risiken werden Abhilfemaßnahmen definiert. Diese technisch-organisatorische Maßnahmen (TOM) dämmen möglich Risiken ein bzw. schließen sie gänzlich aus. Verbleibende Restrisiken sind zu ermitteln und zu dokumentieren.

10. Erstellung des Berichts

Der IT-Branchenverband bitkom empfiehlt für die Erstellung des Berichtes folgende Gliederung, auch die Aufsichtsbehörde Bayern ist diesem Beispiel bereits gefolgt.

1. Einleitung
2. Anwendungsbereich DSFA
a. Systematische Beschreibung der Verarbeitung/Zwecke
b. Bewertung Notwendigkeit/Verhältnismäßigkeit der Verarbeitung im Bezug zum Zweck
c. Zwecke und Mittel der (beabsichtigten) Verarbeitung
d. Involvierte Parteien
i. Verantwortlicher
ii. Gemeinsame Verantwortliche
iii. Auftragsdatenverarbeiter
iv. Kontaktdaten Datenschutzbeauftragter
3. Datenschutz-Anforderungen
4. Datenschutz-Risikobetrachtung
a. Risikoidentifikation
b. Risikoanalyse
c. Risikobewertung
5. Geplante Abhilfemaßnahmen (Sicherheitsvorkehrungen, Garantien, etc.)
6. Ergebnis DSFA und mögliche Pflicht zur Konsultation

Der Bericht kann unter 13. Dokumentation erneut aufgegriffen werden, und um die Punkte 5.1. Umsetzung Abhilfemaßnahmen und 5.2 Test Abhilfemaßnahmen ergänzt werden. Ferner kann er als Basis für die unter Punkt 15 genannten Prüfungen/Audits dienen sowie als Startpunkt für Fortschreibungen (siehe auch Schritt 16)

11. Umsetzung der Abhilfemaßnahmen

Die unter 9. beschriebenen TOM werden umgesetzt und implementiert.

12. Test der Abhilfemaßnahmen

Nach der Implementierung erfolgt eine Überprüfung der TOM. Sind diese tatsächlich im ausreichenden Maß in der Lage den Schutz personenbezogener Daten zu gewährleisten oder müssen ggf. weitere Änderungen/Anpassungen vorgenommen werden?

13. Dokumentation

Umsetzungs- und Testergebnisse werden dem Bericht aus 10. hinzugefügt.

14. Freigabe der Verarbeitungsvorgänge

Sofern die DSFA positiv beendet wurde kann die Verarbeitung seitens des Verantwortlichen freigegeben werden. Sollte im Rahmen der vorherigen Punkte jedoch Risiken aufgetreten sein, die sich durch TOM nicht oder nur in einem unzureichenden Maß dazu beitragen Risiken für den Betroffenen zu minimieren ist die Aufsichtsbehörde zu informieren und um Stellungnahme zu bitte. Die Verarbeitung ist bis dahin noch nicht aktiv weiter zu verfolgen.

15. Prüfung/Audit

Um sicherzustellen, dass alle TOM in korrekter Form arbeiten sind regelmäßige Überprüfungen zwingend notwendig. Diese sind ohnehin durch den Verantwortlichen durchzuführen, sollte jedoch ergänzend über Audits des DSB oder eines externen Dritten neutral überwacht und begutachtet werden.

16. Fortschreibung

Änderungen und Anpassungen der geprüften Verarbeitungsvorgangs sind fortzuschreiben. Hierzu empfiehlt es sich in regelmäßigen Abständen den Prozess auf Veränderungen in technischer oder auch organisatorischer Hinsicht zu untersuchen. Die Ergebnisse und daraus resultierenden Aufgaben sind zu dokumentieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.