Die Datenschutz-Folgenabschätzung – Definition, gesetzliche Grundlagen, Prozessablauf, Voraussetzungen und Einbindung in die Auftragsdatenverarbeitung
Die Datenschutz-Folgenabschätzung ist seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) ein Thema, mit dem sich viele Unternehmen bzw. deren Datenschutzbeauftragte verstärkt auseinandersetzen. Im Prinzip ist sie aber nichts anderes als die bereits aus dem Bundesdatenschutzgesetz bekannte Vorabkontrolle (§ 4d Absatz 5 BDSG). Dieser Beitrag beschreibt, worum es sich bei der Datenschutz-Folgenabschätzung gemäß DSGVO genau handelt, wie die gesetzliche Grundlage dafür aussieht, wie der Prozess ablaufen kann und wer für die konkrete Umsetzung in Unternehmen verantwortlich ist.
Die Definition: Was bedeutet der Begriff Datenschutz-Folgenabschätzung genau?
Die Datenschutz-Folgenabschätzung (gebräuchliche Abkürzung: DSFA) ist ein wichtiger Prozess innerhalb des betrieblichen Datenschutzes. Bei der DSFA werden Risiken bewertet, die für einzelne Individuen entstehen können, wenn bestimmte Technologien und Systeme zur Erfassung von personenbezogenen Daten eingesetzt werden. Bei der Datenschutz-Folgenabschätzung stehen die Grundrechte von Individuen und deren mögliche Verletzungen im Vordergrund. Durch die Analyse der Risiken und Maßnahmen für deren Minimierung zeigen die Datenschutzverantwortlichen nachvollziehbar auf, wie Sie bei der Datenverarbeitung diese Rechte wahren. Die Datenschutz-Folgenabschätzung im Unternehmen ersetzt meist die Vorabkontrolle durch die zuständige Aufsichtsbehörde.
Wie ist die Datenschutz-Folgenabschätzung in Deutschland gesetzlich geregelt?
Die gesetzliche Regelung der Datenschutz-Folgenabschätzung findet sich in Deutschland in der Datenschutzgrundverordnung (DSGVO). Sie ist abgeleitet aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (EU-DatenschutzGrundverordnung – DS-GVO). Diese Verordnung ist seit 25. Mai 2018 in Kraft und hat in vielen Unternehmen das Thema Datenschutz ganz oben auf die Agenda gesetzt. Verstöße gegen die DSGVO können zu empfindlichen Strafen für das Unternehmen führen. Auf Europäischer Ebene wird die Datenschutzverordnung als General Data Protection Regulation (GDPR) bezeichnet. Die Datenschutz-Folgenabschätzung ist in Artikel 35 der Datenschutz-Grundverordnung geregelt.
Wann müssen Unternehmen eine Datenschutz-Folgenabschätzung durchführen?
Immer dann, wenn das Risiko besteht die Rechte oder Freiheit von Individuen durch die Erfassung und Verarbeitung von Daten zu gefährden, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Das ist besonders in den folgenden Fällen nötig:
- Wenn in einem Unternehmen oder einer Organisation neue Technologien eingesetzt werden
- Wenn technische Systeme zur Zugangskontrolle, die persönliche Daten per Fingerabdrucksensor oder mittels Gesichtserkennung erheben und nutzen
- Beim Einsatz von Profiling, das heißt bei der Zusammenführung von verschiedenen Datensätzen, um ein umfassendes Profil zu erstellen. Zum Beispiel, wenn öffentlich zugängliche Daten aus sozialen Netzwerken für andere Zwecke benutzt werden.
- Weitere Profiling-Maßnahmen, die als Grundlage für weitreichende Entscheidungen dienen, zum Beispiel in Bezug auf die Vergabe eines Kredits durch die Bank oder die Besetzung einer Arbeitsstelle
- Bei der Videoüberwachung in öffentlichen Bereichen.
- Bei Datenverarbeitung in Bezug auf strafrechtliche Verurteilungen
- Bei der umfassenden, systematischen Verarbeitung von personenbezogenen Daten
Besonders schützenswert sind gemäß DSGVO zudem personenbezogene Daten, wie:
- Daten über die rassische und ethnische Herkunft
- politische Meinungen oder Überzeugungen religiöser oder weltanschaulicher Art
- Daten über den Gesundheitszustand einer Person
- Zugehörigkeit zu einer Gewerkschaft
- genetische Daten
- biometrische Daten, um natürliche Personen eindeutig identifizieren zu können
- Daten zur sexuellen Orientierung
- Daten über Strafdaten und strafrechtliche Verurteilungen
Die Datenschutzkonferenz (DSK) hat eine Liste mit allen prüfungswürdigen Vorgängen erstellt. Diese Liste wird auch als Black List oder Positivliste bezeichnet und wird laufend ergänzt. Bei der Datenschutzkonferenz handelt es sich um eine Gemeinschaft von unabhängigen Aufsichtsbehörden für den Datenschutz des Bundes und der Länder. Sie tagt zweimal im Jahr und gilt in Deutschland als da Empfehlungsorgan im Datenschutz.
Wer muss eine Datenschutz-Folgenabschätzung durchführen?
Alle Unternehmen, die Daten nach den oben genannten Grundsätzen erheben und verarbeiten, sind nach Artikel 35 der DSGVO verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen. Vor allem dann, wenn externe Dienstleister ins Spiel kommen und Daten im Rahmen einer Auftragsdatenverarbeitung von (dazu autorisierten) Dritten verarbeitet werden, ist es wichtig, die Datenschutz-Folgenabschätzung durchführen. Oft ist das bereits ein fester Bestandteil von Auftragsdatenverarbeitungsverträgen. Die Auftragsdatenverarbeitung ist in Artikel 28 Absatz 3 DSGVO geregelt. In Unternehmen liegt die Folgenabschätzung im Verantwortungsbereichs des internen oder externen Datenschutzbeauftragten. Er oder sie kümmert sich in der Regel gemeinsam mit der Fachabteilung um die Analyse der Risiken und deren Management und Minimierung.
Wer muss keine Datenschutz-Folgenabschätzung durchführen?
Neben der Positivliste gibt es auch eine „White List“ der Behörden, die Vorgänge zusammenfasst, bei denen keine Datenschutz-Folgenabschätzung nötig ist. Dazu gehören verschiedene Bereiche in Unternehmen, zum Beispiel Rechnungswesen, Verwaltung von Kundendaten, Buchführung, Personalverwaltung, Mitgliederverwaltung in Vereinen, Marketing für interne Zwecke, Verwaltung von Inventar und Sachen, Systeme zur Zutrittskontrolle, Verwaltung der Zugriffe für EDV-Systeme, Archivierung, Rechts- und Beratungsberufe, Öffentliche Abgabenverwaltung.
Bei den folgenden Sachverhalten ist in der Regel ebenso keine Datenschutz-Folgenabschätzung nötig:
- Wenn die Verarbeitung von Daten aller Wahrscheinlichkeit nach, kein hohes Risiko für die Freiheiten und Recht von Individuen mit sich bringt.
- Wenn die Daten bereits in Bezug auf eine andere Form der Verarbeitung einer Datenschutz-Folgenabschätzung unterzogen wurden.
- Wenn vor dem Inkrafttreten der DSGVO am 25. Mai 2018 bereits eine Vorabprüfung seitens der Datenschutzbehörde erfolgt ist und sich die Art der Verarbeitung der Daten seitdem nicht geändert hat.
- Wenn die Verarbeitung der Daten auf einem öffentlichen Interesse gründet.
Die White List ist kein Freifahrtschein für den Datenschutz. Sie gibt lediglich Hinweise. Unternehmen sind in der Pflicht immer konkret und im Einzelfall zu prüfen, ob nicht doch eine Datenschutz-Folgenabschätzung durchzuführen ist.
Wie kann eine Datenschutz-Folgenabschätzung in der Praxis ablaufen?
In der Datenschutzgrundverordnung ist nicht genau geregelt, welche Schritte für die Datenschutz-Folgenabschätzung nötig sind. In der Praxis hat es sich bewährt die Datenschutz-Folgenabschätzung in mehrere Phasen zu untergliedern. Es ist wichtig die Maßnahmen in allen drei Phasen sorgfältig zu dokumentieren und für spätere Kontrollen aufzubewahren.
Phase 1: Die Vorbereitung
In der Vorbereitungsphase legen Unternehmen die Verantwortlichen und den genauen Bereich der Prüfung fest, um später in der Bewertungsphase das konkrete Risiko für die Verletzung der Rechte von Individuen in einer umfassenden Risikoanalyse zu bewerten. Es wird festgestellt, ob die Voraussetzungen gegeben sind, um eine verpflichtenden Datenschutz-Folgenabschätzung durchzuführen. Ein hohes Risiko liegt zum Beispiel in folgenden Bereichen vor:
Phase 2: Die Bewertung der einzelnen Risiken
- Durchführung von Profiling, das heißt, die Bewertung persönlicher Aspekte natürlicher Personen, die auch eine Rechtswirkung zur Folge haben können.
- Datenverarbeitung über Straftaten oder strafrechtliche Verurteilungen
- Systematische Überwachung von öffentlichen Bereichen
- Verwendung neuer Technologien, wie Analyse-Tools für Webseiten, um Marketingprofile zu erstellen
- Verarbeitungsvorgänge mit maschinellen Entscheidungen
- Systematische Überwachung oder Kontrolle von Personen
- Verarbeitung von sensiblen Daten, die zum Beispiel den Schutz der Privatsphäre betreffen und deren Verwendung ernsthafte Konsequenzen nach sich ziehen kann
- Datenverarbeitung in großem Umfang, zum Beispiel über ganze Bevölkerungsgruppen, in großem geografischem Ausmaß, über eine lange Dauer oder in großen Datenmengen
- Verarbeitung von Daten besonders schutzbedürftiger Personen (z.B. von Patienten, Asylbewerbern, psychisch kranken Personen)
Nachdem geprüft wurde, ob die Voraussetzungen für die Datenschutz-Folgenabschätzung gegeben sind und die Risiken definiert sind, geht es um die Erhebung der zu verarbeitenden personenbezogenen Daten. Dabei müssen folgende Fragen beantwortet werden, um die Risiken zu bewerten:
- Welche Arten von Daten werden verarbeitet?
- Haben die Betroffenen in die Verarbeitung der Daten eingewilligt?
- Liegen der Datenverarbeitung ein Vertrag oder vorvertragliche Maßnahmen zugrunde?
- Sind die verarbeiteten Daten für die Erfüllung von rechtlichen Anforderungen nötig?
- Werden durch die Verarbeitung der Daten lebenswichtige Interessen geschützt?
- Liegt die Verarbeitung der Daten im öffentlichen Interesse?
- Überwiegen die Interessen der Datenverarbeitung gegenüber den Interessen von Recht und Freiheit der Individuen?
Außerdem muss sichergestellt werden, dass die folgenden datenschutzrechtlichen Prinzipien eingehalten werden:
- Erfüllung der Informationspflichten
- Verwendung der Daten nur für die festgelegten und legitimen Zwecke
- Verhältnismäßigkeit der Datenverarbeitung in Bezug auf Art und Menge der Daten sowie den Zeitraum der Speicherung
- Sicherstellung der sachlichen Richtigkeit der Daten
- Ergriffene Maßnahmen der Datensicherheit
Zudem müssen die Verantwortlichen beschreiben, wie die Daten verarbeitet werden sollen und welchem Zweck die Verarbeitung der Daten dient. Auch die Notwendigkeit und Verhältnismäßigkeit wird in diesem Schritt explizit analysiert. Dann geht es um die genaue Ermittlung der potenziellen Risiken der Datenverarbeitung:
- Datenverfügbarkeit – vor allem im Hinblick auf die Einbindung externer Dienstleister bei der Auftragsdatenverarbeitung
- Schutz der Privatsphäre – auch im Hinblick auf unbefugte Verarbeitung oder Verlust der Daten
- Risiken in Bezug auf den Zweck der Datenverarbeitung
- Beachtung weiterer gültiger Prinzipien im Datenschutz, wie Informationspflicht, Rechtmäßigkeit, Speicherung, Datenminimierung, Richtigkeit von Daten etc.
Auch die Folgen der Risiken werden genau analysiert und dokumentiert. Dazu gehören:
Phase 3: Die Erstellung von Maßnahmen, um die Risiken zu minimieren und zu managen
- Schädigung der Betroffenen (physisch, materiell und immateriell)
- Datenverlust
- Identitätsdiebstahl oder -betrug
- Rufschädigung
- Wirtschaftliche, finanzielle oder gesellschaftliche Nachteile
Anschließend werden Maßnahmen zur Vermeidung oder Minderung des Risikos für Individuen zusammengefasst und festgelegt. Auch ein konkreter Plan für die Umsetzung inklusive der Festlegung eines zeitlichen Horizonts ist in der dritten Phase wichtig. Es ist entscheidend den Ist-Zustand mit dem Soll-Zustand zu vergleichen (Gap-Analyse). Mit einem genau definierten Maßnahmenplan soll der gewünschte Sollzustand erreicht werden.
Die Maßnahmen können folgender Art sein:
- Personelle Maßnahmen, z.B. Form in Nutzungsrechten und Rollenzuweisungen für bestimmte Personen und Nutzergruppen
- Technische und organisatorische Maßnahmen: Änderung von Prozessen und Implementierung von automatischen Maßnahmen sowie Protokollierung von Zugriffen
- Maßnahmen im Bereich der Sicherheit von IT und Netzwerken
- Bauliche Maßnahmen, z.B. Zutrittskontrollen für einzelne Bereiche
Ist ein sehr hohes Risiko identifiziert, das sich nicht durch angemessene betriebliche Maßnahmen minimieren lässt, ist eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einzuholen.
Die Einbindung der Datenschutz-Folgenabschätzung in einen Auftragsdatenverarbeitungvertrag (AVV)
Viele Unternehmen setzen externe Dienstleister ein, um Daten weiterzuverarbeiten. Daher ist eine Datenschutz-Folgenabschätzung meist Bestandteil eines größeren Vertrags zur Auftragsdatenverarbeitung (AVV). Ein Vertrag zur Auftragsdatenverarbeitung ist immer dann nötig, wenn personenbezogene Daten durch einen Dienstleister, der weisungsabhängig ist, weiterverarbeitet werden.