Datenschutz-Folgenabschätzung – ein Update

Mittlerweile gibt es viele Hilfestellungen - aber die Arbeit müssen die Verantwortlichen immer noch selbst erledigen...

15.05.2021

Die Verarbeitung personenbezogener Daten birgt zahlreiche Risiken. Dies ist vor allem dann der Fall, wenn im Rahmen der Datenverarbeitung neue Technologien eingesetzt werden, wie zum Beispiel künstliche Intelligenz oder Profilbildungs- und -analysewerkzeuge oder wenn eine besonders umfangreiche Datenverarbeitung stattfindet. Hohe Risiken entstehen ebenfalls häufig, wenn besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden. Hierbei handelt es sich um Gesundheitsdaten, Daten über rassische und ethnische Herkunft, weltanschauliche oder religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten oder auch Daten zur sexuellen Orientierung.

Sofern die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, haben die für die Datenverarbeitung Verantwortlichen gemäß Art. 35 DSGVO die Pflicht, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.

Vor Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatten wir uns bereits in einem Artikel mit dem Thema der Datenschutz-Folgenabschätzung (DSFA) beschäftigt. Darin haben wir die grundlegende Funktion dieses Instruments zur Risikoabschätzung sowie eine Methode der Risikobewertung durch eine Risikomatrix beschrieben sowie die wesentlichen Aspekte, die im Rahmen der Durchführung einer DSFA zu beachten sind, aufgezeigt (hierzu vgl. unseren Beitrag vom 06.05.2017).

Seitdem sind nun ganze vier Jahre vergangen, so dass ein erneuter Blick auf das Instrument der DSFA lohnt. Mit dem vorliegenden Artikel liefern wir ein Update in Sachen DSFA und gehen insbesondere auf die Auffassungen der Aufsichtsbehörden ein, die sich mittlerweile hierzu positioniert haben. Zudem informieren wir auch über Hilfestellungen und Orientierungshilfen, die durch die Aufsichtsbehörden oder Datenschutz- und Interessensverbände den Verantwortlichen angeboten werden und gehen auf einen aus unserer Sicht eher kuriosen Fall einer Pflicht zur Durchführung einer DSFA ein.

Hilfestellungen und Orientierungshilfen

Wenn man im Datenschutzrecht über Pflichten spricht, so treffen diese meist die Verantwortlichen, die die Daten verarbeiten. Doch die DSGVO begründet Pflichten auch für die Aufsichtsbehörden. Eine dieser Pflichten „versteckt“ sich in Art. 35 Abs. 4 DSGVO. Danach haben die Aufsichtsbehörden die Pflicht, eine Liste der Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen ist. Diese wird häufig Blacklist genannt – einen Begriff, den wir aus mehreren Gründen für unglücklich gewählt halten. Die Aufsichtsbehörden sind dieser Pflicht nachgekommen und haben solche Listen veröffentlicht.

Listen von DSFA-pflichtigen Verarbeitungsvorgängen

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine gemeinsame Liste für Datenverarbeitungen im nicht-öffentlichen Bereich nach Artikel 35 Abs. 4 DSGVO verabschiedet und veröffentlicht. Diese wird an mehreren Stellen bereitgestellt und ist unter anderem abrufbar unter: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf

Folgende deutsche Aufsichtsbehörden haben zudem Listen gem. Art. 35 Abs. 4 DSGVO für den öffentlichen Bereich veröffentlicht:

Zu den Listen erteilt die LDI NRW folgende Hinweise:

Liste für den nicht-öffentlichen Bereich:

„Diese Liste ist verbindlich. Das Kohärenzverfahren beim Europäischen Datenschutzausschuss ist abgeschlossen. Bitte beachten Sie, dass es sich bei den in der Liste aufgeführten Verfahren lediglich um eine beispielhafte Aufzählung handelt.“

Zur Liste für den öffentlichen Bereich:

„Diese Liste ist verbindlich aber nicht abschließend.“

Für Fälle der Datenverarbeitung durch öffentliche Stellen des Bundes ist im Rahmen der Erstellung einer DSFA die Liste des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) maßgeblich.

Orientierungshilfen der DSK

Die DSK bietet seit geraumer Zeit eine Orientierungshilfe als Kurzpapier Nr. 5 zur Datenschutz-Folgenabschätzung für den praktischen Vollzug an. Mit gerade mal fünf Seiten legt diese Orientierungshilfe den Fokus auf zentrale Aspekte, die im Rahmen einer DSFA durch die Verantwortlichen zu beachten wären.

Wie Risiken für die Rechte und Freiheiten natürlicher Personen bestimmt und in Bezug auf ihre Rechtsfolgen bewertet werden können, kann anhand des Kurzpapiers Nr. 18 der DSK festgestellt werden.

Behördliche Beispiele zur Umsetzung einer DSFA

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bietet auf seiner Webseite ein Beispiel zur Umsetzung der DSFA, welches die deutschen Aufsichtsbehörden im Rahmen eines Planspiels durchgeführt haben. Hierbei wurde sowohl das Standard-Datenschutzmodell (SDM) als auch eine Interpretation der ISO 29134 für ein fiktives Szenario angewendet. Die Beschreibung der Ausgangsituation, die Methodik der Durchführung sowie der Einsatz des Standard-Datenschutzmodells zusammen mit der Bewertung der Ergebnisse des Planspiels sind abrufbar unter:
https://www.lda.bayern.de/de/thema_dsfa.html.

Hinsichtlich des Standard-Datenschutzmodells der Aufsichtsbehörden gibt es unter den Anwendern des Modells nach unserer Beobachtung keine einheitliche Meinung. Die einen nehmen das Modell mit Begeisterung auf, doch es gibt auch kritische Stimmen, die dieses Modell als zu umständlich und für die Praxis aufgrund der Komplexität als ungeeignet ablehnen. Immerhin hat jedoch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Grundschutz-Katalog im Datenschutz-Baustein CON2 auf das SDM verwiesen.

Ein weiteres gutes Beispiel zur Umsetzung der DSFA bietet die französische Aufsichtsbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL), die sogar eine Open-Source-Software zur Durchführung einer DSFA kostenlos zur Verfügung stellt. Weitere Informationen hierzu sind in englischer Sprache abrufbar unter: https://www.cnil.fr/en/privacy-impact-assessment-pia.

Prüf-Schema der LfD Niedersachsen

Um Anwendern die Beantwortung der Frage, ob DSFA durchzuführen ist, zu erleichtern, stellt die LfD Niedersachsen ein entsprechende Prüfschema zur Verfügung. Anhand dieses Schemas lässt sich die Notwendigkeit der Durchführung einer DSFA ermitteln. Neben einer Checkliste und einem Glossar der relevanten Begrifflichkeiten enthält das Schema zusätzlich Hinweise auf weitere Hilfestellungen zur DSFA. Das Prüfschema kann unter dem folgenden Link als ein WORD-Dokument abgerufen werden: https://lfd.niedersachsen.de/download/165235.

Die Praxishilfen der GDD und des Bitkom-Verbands

Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) bietet den Verantwortlichen gleich zwei Praxishilfen an, um deren Arbeit zur Durchführung einer DSFA zu erleichtern.

Zu einem wäre das die GDD-Praxishilfe DS-GVO X, in der die Voraussetzungen der Datenschutz-Folgenabschätzung ausführlich beschrieben werden und zum anderen die GDD-Praxishilfe DS-GVO XIV, in der der Leitfaden der spanischen Aufsichtsbehörde „AEPD“  zur Erstellung einer DSFA zusammengefasst wird.

Zudem gibt es auch vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) einen etwas älteren Leitfaden zur DSFA aus dem Jahr 2017, der jedoch detailliert beschreibt, wie Unternehmen die Vorgaben der DSGVO umsetzen und ihr Risikomanagement an die DS-GVO anpassen können. Mit seinen ausführlichen Anleitungen ist der Leitfaden ein hilfreiches Werkzeug bei der Umsetzung der DSGVO-Regelungen.

Anonymisierung – (stets) ein Fall für eine DFSA?

In seinem kürzlich veröffentlichten aktuellen 29. Tätigkeitsbericht für das Jahr 2020, geht der BfDI auf die Frage ein, inwiefern im Rahmen der Anonymisierung von personenbezogenen Daten die Durchführung einer DSFA erforderlich wäre.

Die Anonymisierung der Daten ist bei Softwareherstellern im Zusammenhang mit der Durchführung statistischer Analysen zur Fehleridentifikation bei der Produktentwicklung ein wichtiger Arbeits- und Datenverarbeitungsschritt.

Hinsichtlich der Anonymisierung „geizt“ die DSGVO jedoch mit Informationen und sagt in Erwägungsgrund 26 (ErwG) lediglich, dass die Grundsätze des Datenschutzes für anonyme Informationen nicht gelten. Inwiefern der Anonymisierungsprozess selbst jedoch eine Verarbeitung personenbezogener Daten darstellt, die den Bestimmungen der DSGVO unterfällt, sagt die Verordnung jedoch nicht.

Das Schweigen der DSGVO nahm der BfDI nun zum Anlass, etwas mehr Licht ins Dunkel der Rechtsanwendung zu bringen und erläutert in seinem oben zitierten Bericht, dass die Anonymisierung nach seiner Auffassung ein Verarbeitungsprozess wäre, der a) stets einer datenschutzrechtlichen Rechtsgrundlage bedarf und bei dem b) „grundsätzlich eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen“ ist (hierzu vgl. S. 72 des 29. Tätigkeitsberichts des BfDI).

Der BfDI begründet seine Auffassung damit, dass im Rahmen einer Anonymisierung regelmäßig davon ausgegangen werden müsse, dass voraussichtlich ein hohes Risiko bestehen würde. Das liege daran, dass in der Regel eine „Verarbeitung in großem Umfang“ stattfinde und die jeweilige Anonymisierungstechnik dem Begriff der neuen Technologien unterfalle. Außerdem spricht für die Durchführung einer Datenschutz-Folgenabschätzung aus Sicht des BfDI, dass die Generierung eines anonymen Datenbestandes eine komplexe Aufgabe des Verantwortlichen darstelle und viele Fehlerquellen in sich berge.

Dieser Argumentation ist entgegenzuhalten, dass eine solche Betrachtungsweise unseres Erachtens zu pauschal ist. Denn die DSFA ist bei einer Anonymisierung gesetzlich eben nicht ausdrücklich vorgesehen und weder die DSK noch die Landesbehörden für den Datenschutz haben die Anonymsierung in ihre „Muss-Listen“ mit aufgenommen. Zudem handelt es sich bei der Verarbeitung „in großem Umfang“ um einen nicht legaldefinierten Begriff, der einer zusätzlichen Auslegung in jedem konkreten Einzelfall bedarf. Deshalb sollten Verantwortliche stets für die von ihnen geplante Form der Anonymisierung prüfen, ob wirklich eine DSFA erforderlich wäre. Zur Analyse, inwiefern dies der Fall wäre, können die Verantwortlichen auf die sogenannte Schwellwertanalyse zurückgreifen. Bezüglich der Durchführung der Schwellenwertanalyse können die Informationen des BayLDA in der Beschreibung der Durchführung einer DSFA an einem Musterbeispiel herangezogen werden (hierzu vgl. das Dokument des BayLDA zum Musterbeispiel auf S. 4 ff.).

Fazit

Die Durchführung einer DSFA ist und bleibt eine Fleißarbeit, welche die Verantwortlichen als ein umfangreicher Prozess auf Trab halten wird. Denn die DSFA muss bei geänderten Risiken gegebenenfalls wiederholt, die Wirksamkeit der Maßnahmen regelmäßig überprüft und das Ergebnis der Risiko-Prüfung und -Bewertung muss nachgewiesen werden können. Doch zum Glück sind die Verantwortlichen nicht auf sich allein gestellt, denn es gibt mittlerweile viele Hilfestellungen, so dass der Durchführung einer DSFA nichts im Wege stehen sollte.

Führen Sie Verarbeitungen durch, bei denen die Risiken im Rahmen einer DSFA zu bewerten wären? Kontaktieren Sie uns, wir helfen Ihnen gerne!