Die Datenschutz-Folgenabschätzung (DSFA)

Der Nachfolger der Vorabkontrolle

06.05.2017

Etwas Ähnliches wie die Datenschutz-Folgenabschätzung (DSFA) kannten wir bereits aus dem BDSG. Dort wurde in § 4d Abs. 5 festgelegt, dass eine Vorabkontrolle dann durchzuführen ist, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

In der Datenschutz-Grundverordnung (DS-GVO) heißt die Nachfolgeregelung nun Datenschutz-Folgenabschätzung und ist in Artikel 35 geregelt. Als Entscheidungskriterium, ob eine DSFA durchzuführen ist, wird in ähnlicher Weise wie zuvor beim BDSG, das Bestehen eines hohen Risikos für die Rechte und Freiheiten natürlicher Personen herangezogen.

Eintrittswahrscheinlichkeit und Schwere des Risikos

In den Erwägungsgründen zu Artikel 35 DS-GVO wird konkret vorgegeben, wie das Risiko zu bestimmen ist. Und zwar sind Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu bestimmen. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt. Hierbei bietet sich die Verwendung der folgenden Matrix an:

Die grünen Bereiche bedeuten ein geringes Risiko, die gelben und orangen Bereiche ein mittleres Risiko während die roten Bereiche für hohes Risiko und damit für die Pflicht zur Durchführung einer DSFA stehen. Zu beachten ist, dass mit der Schadenhöhe nicht etwa der eventuell entstehende finanzielle Schaden des Verantwortlichen gemeint ist.  Bei der DSFA sind vielmehr die Auswirkungen auf die betroffene Person zu betrachten.

Konkrete Schäden, die zu berücksichtigen sind, werden ebenfalls in den Erwägungsgründen genannt. Grundsätzlich kommen demnach physische, materielle und immaterielle Schäden der betroffenen Person in Frage. Insbesondere werden in den Erwägungsgründen folgende Beispiele genannt:

  • Diskriminierung
  • Identitätsdiebstahl
  • finanzieller Verlust
  • Rufschädigung
  • Verlust der Vertraulichkeit von Daten, die einem Berufsgeheimnis unterliegen
  • der Aufhebung einer Pseudonymisierung
  • Verlust der Kontrolle der eigenen personenbezogenen Daten

Erfolgt eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Artikel 9 DS-GVO Abs. 1) ist in jedem Fall eine DSFA durchzuführen.

Maßnahmen

Selbstverständlich beschränkt sich die Datenschutz-Folgenabschätzung nicht nur darauf, ein bestehendes Risiko zu beschreiben. Vielmehr sind die technischen und organisatorischen Maßnahmen in der Weise anzupassen, dass das zuvor bewertete Risiko möglichst minimiert wird. Die Ergebnisse der Risikoanalyse sowie die daraus abgeleiteten Maßnahmen sind zu dokumentieren. Insofern weist die DSFA zwar Parallelen zur bisherigen Vorabkontrolle aus. Aufgrund der notwendigen umfangreichen Risikoanalyse sowie der in der DS-GVO in Artikel 5 festgelegten Rechenschaftspflicht ist die Durchführung einer DSFA weitaus aufwändiger.

Die Aufsichtsbehörden

Auch die Aufsichtsbehörden wurden durch den Gesetzgeber am Prozess der Datenschutz-Folgenabschätzung beteiligt. So ist festgelegt, dass die Behörden Listen von Verarbeitungsvorgängen zu erstellen haben, für die eine DSFA zwingend erforderlich ist. Das Weiteren können die Aufsichtsbehörden weitere Listen von Verarbeitungsvorgängen erstellen, für die keine DSFA durchzuführen ist. Derzeit haben diese Aufsichtsbehörden diese Listen noch nicht erstellt. Es bleibt zu hoffen, dass dies deutlich vor dem 25.05.2018 erfolgen wird, da diese Listen für die Verantwortlichen mehr Klarheit und Sicherheit schaffen werden.

Ein weiterer Punkt bei dem die Aufsichtsbehörden in den Prozess der DSFA involviert sind, ist für den Fall vorgesehen, dass nach Durchführung einer DSFA festgestellt wird, dass eine Verarbeitung ein hohes Risiko für die betroffenen Personen zur Folge hätte und keine technischen oder organisatorischen Maßnahmen zur Eindämmung des Risikos möglich oder geplant sind. Gemäß Artikel 36 DS-GVO ist in diesen Fällen die Aufsichtsbehörde zu konsultieren. Diese hat innerhalb von 8 Wochen zu der geplanten Verarbeitung Stellung zu nehmen. Die Stellungnahme kann Empfehlungen enthalten, wie das Risiko der betroffenen Personen minimiert werden kann. Ebenso ist es aber auch möglich, dass die Aufsichtsbehörde die ihr zur Verfügung stehenden Kontroll- und Regelungsbefugnisse nutzt und beispielsweise Teile oder gesamte Verarbeitungen untersagt.

Das BDSG-neu

Das inzwischen verabschiedete und zum 25.05.2018 in Kraft tretende BDSG-neu legt in § 38 Abs. 1 fest, dass immer dann, wenn eine DSFA durchgeführt werden muss, zwingend ein Datenschutzbeauftragter zu bestellen ist. Die Grenze von 10 Beschäftigten, bis zu der kein Datenschutzbeauftragter zu bestellen ist, gilt in diesen Fällen nicht. Je nachdem, welche Verarbeitungen durch die Aufsichtsbehörden in die Liste der DSFA-pflichtigen Verarbeitungen aufgenommen werden, könnte künftig für deutlich mehr Unternehmen eine Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen als bisher.

Führen Sie Verarbeitungen durch, für die eine DSFA obligatorisch ist? Gerne unterstützen wir Sie dabei, dies zu überprüfen und die DSFA gegebenenfalls durchzuführen.