Der externe Datenschutzbeauftragte

Als Dienstleister übernehme ich alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

Datenschutz-Folgenabschätzung und Standard-Datenschutzmodell

23. August 2016

Die EU-Datenschutzgrundverordnung (EU-DSGVO) führt in Art. 35 die Datenschutz-Folgenabschätzung ein. Diese kann zumindest grob betrachtet als Fortsetzung der Vorabkontrolle, wie sie im BDSG definiert ist, verstanden werden. Dabei darf nicht übersehen werden, dass die Vorabkontrolle bisher nur bei besonders risikoreichen Verarbeitungen zur Anwendung kam und durch den Datenschutzbeauftragten durchzuführen war. Die Datenschutz-Folgenabschätzung wird hingegen ab Anwendung der EU-DSGVO im Mai 2018 zur Pflicht für nahezu jegliche Verarbeitung.

Risikoabschätzung für nahezu alles!

Mit anderen Worten: Die ausführliche Risikoabschätzung von Verfahren, sowie die Begründung für ihre Zulässigkeit müssen nun nicht mehr nur bei stark risikobehafteten Verfahren gemacht werden, sondern eigentlich immer. Die EU-DSGVO spricht zwar von einem „hohen Risiko für die Rechte und Freiheiten des Betroffenen“. Allerdings wird auch von „neuen Technologien“ gesprochen, ohne das weiter zu definieren.

Erwägungsgrund 84 erläutert, dass die Datenschutz-Folgenabschätzung unter anderem ein Mittel zur Evaluation des Risikos für den Betroffenen sein soll. Damit kann davon ausgegangen werden, dass sie bei nahezu allen Verfahren durchzuführen ist. Unterstrichen wird unsere Meinung von den Erwägungsgründen 89 und 90. Dort wird empfohlen, eine Datenschutz-Folgenabschätzung auch dann zu machen, wenn bereits erwähnte (und nicht näher definierte) neue Technologien eingesetzt werden und der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat. Es wird vieles davon abhängen, was die Aufsichtsbehörden als „neue Technologien“ ansehen.

Art. 35 Abs. 4 fordert übrigens die Aufsichtsbehörden auf, eine Liste der Verarbeitungsvorgänge zu erstellen, bei denen zwingend eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese wird aufgrund des in Abs. 6 geforderten Kohärenzverfahrens europaweit einheitlich sein. Bis diese Liste existiert dürften noch ein paar Monate ins Land gehen.

Wer macht’s?

Zuständig für die Datenschutz-Folgenabschätzung ist nicht mehr der Datenschutzbeauftragte, sondern die Verantwortliche Stelle. Wenn ein Datenschutzbeauftragter bestellt ist, muss dieser gem. Art. 35 Abs. 2 EU-DSGVO allerdings einbezogen werden. Ob diese Regelung der Verantwortlichkeit sinnvoll ist, sei einmal dahingestellt. Mit hoher Wahrscheinlichkeit wird die Aufgabe der Datenschutz-Folgenabschätzung ohnehin wieder bei demjenigen im Unternehmen landen, der fachlich am geeignetsten ist: dem Datenschutzbeauftragten.

Das Standard-Datenschutzmodell

In den letzten Wochen haben die Aufsichtsbehörden – allen voran das ULD aus Schleswig-Holstein – begonnen, die Werbetrommel für das sog. Standard-Datenschutzmodell (SDM) zu rühren. Beim Standard-Datenschutzmodell handelt es sich vereinfacht gesagt um ein (Zitat) „Vorgehensmodell zur Beratung und Prüfung auf Basis einheitlicher Gewährleistungziele“, welches von der 90. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (also allen deutschen Aufsichtsbehörden gemeinsam) empfohlen wird.

4 Schritte sollst Du geh’n

Der Prüfprozess ist recht starr und sieht (sehr grob dargestellt) 4 Schritte vor, von denen die beiden letzten durch das SDM abgedeckt werden. Die ersten beiden Schritte waren schon von jeher für jedes Verfahren durchzuführen.

  1. Prüfung auf Datenschutzrelevanz
  2. Prüfung der Rechtsgrundlage (Gesetz, Vertrag, Betriebsvereinbarung, Einwilligung etc.)
  3. Prüfung der Prüffähigkeit (Liegt die benötigte Dokumentation vor? Kann die Dokumentation gegen den Ist-Stand abgeglichen werden?)
  4. Prüfung der Implementation (Umsetzung der Funktion; Sind Schutzmaßnahmen angemessen und ausreichend?)

Nach jedem der Schritte kann (bzw. soll) bei negativem oder nicht ausreichendem Ergebnis die Prüfung abgebrochen werden. Die Aufsichtsbehörden würden in einem solchen Fall den Schritt der Anordnung, Untersagung oder des Bußgelds gehen. Der Verantwortliche im Unternehmen ist im Fall des Abbruchs gehalten, für Behebung des Zustands zu sorgen. Das kann z. B. das Aussetzen des Verfahrens sein, die Schaffung der Rechtsgrundlage, die Erstellung einer brauchbaren Dokumentation oder die Implementation von angemessenen Schutzmaßnahmen sowie zahlreiche weitere Maßnahmen.

Gewährleistungsziele

Das Standard-Datenschutzmodell definiert – deutlich detaillierter als die EU-DSGVO – sieben Gewährleistungsziele:

  • Datensparsamkeit
  • Verfügbarkeit
  • Integrität
  • Vertraulichkeit
  • Nichtverkettbarkeit (hiermit ist die Sicherstellung und Nachweisbarkeit der Zweckbindung gemeint)
  • Transparenz
  • Intervenierbarkeit (hiermit ist die Sicherstellung der Interventionsrechte des Betroffenen gemeint)

Praktischer Weise liefert das SDM gleich einen generischen Maßnahmenkatalog zur Erreichung der einzelnen Gewährleistungsziele mit. Dieser muss „nur noch“ in konkrete und für die jeweilige Verarbeitung angemessene Maßnahmen transformiert werden. Danach kann dieser individuelle Katalog genutzt werden, um die entsprechende Verarbeitung zu prüfen.

Was hat das Standard-Datenschutzmodell mit der Folgenabschätzung zu tun?

Vergleicht man die geforderten Maßnahmen der Datenschutz-Folgenabschätzung mit denen des Standard-Datenschutzmodells, fällt die weitgehende Übereinstimmung auf. Zwar sind die Gewährleistungsziele bei der Datenschutz-Folgenabschätzung nicht so ausführlich definiert, wie die des SDM. Implizit sind sie allerdings alle in der EU-DSGVO vorhanden.

Wir gehen fest davon aus, dass die Aufsichtsbehörden eine Datenschutz-Folgenabschätzung, welche die von ihnen selbst definierten Gewährleistungsziele verfolgt, auch akzeptieren werden.

Der große Vorteil des SDM ist, dass es bereits heute anwendbar ist und den Anforderungen des BDSG vollends genügt. Dabei ist es zukunftssicher, denn auch unter der EU-DSGVO kann es weiter angewandt werden. Sollten (geringfügige) Änderungen notwendig sein, so ist zu erwarten, dass diese noch vor Anwendbarkeit der EU-DSGVO im Mai 2018 von den Aufsichtsbehörden formuliert werden.

Es ergibt daher aus unserer Sicht Sinn, sich bereits heute im Hinblick auf die nahende EU-DSGVO intensiv mit dem Standard-Datenschutzmodell zu beschäftigen.

Benötigen Sie Unterstützung beim Übergang zur EU-DSGVO? Wir helfen gerne, unkompliziert und mit Augenmaß.