Datenschutzfolgenabschätzung: Vorgehen bei der Risikoanalyse

Datenschutzfolgenabschätzung: Vorgehen bei der Risikoanalyse

Beitrag vom 27.12.2022

Zur Themenwelt Datenschutz

Datenschutzfolgenabschätzung: Inhalte, Durchführung & Bußgelder im Überblick

Die Datenschutzfolgenabschätzung wurde 2018 im Rahmen der EU-Datenschutzgrundverordnung (DSGVO) eingeführt. Sie dient der Risikoanalyse im Datenschutzbereich, um bei einem hohen Risiko der Datenverarbeitung angemessene Schutzmaßnahmen zu ergreifen.

Die Datenschutzfolgenabschätzung gemäß DSGVO betrifft keineswegs nur große Konzerne – selbst kleine Unternehmen und sogar Vereine können von der Verpflichtung betroffen sein. Wir haben mit Evelyn Seiffert, Diplom-Rechtspflegerin und Fachberaterin für Datenschutz, über die Bedeutung der Datenschutzfolgenabschätzung und deren Durchführung in der Praxis gesprochen.

Was ist eine Datenschutzfolgenabschätzung?

Die DSGVO verfolgt einen risikobasierten Ansatz. Sie geht davon aus, dass bei jeder Datenverarbeitung ein mögliches Risiko besteht. Demnach sind Unternehmen und Vereine ohnehin verpflichtet, die möglichen Risiken zu dokumentieren. Evelyn Seiffert führt aus: „Eine Datenschutzfolgenabschätzung (kurz: DSFA) muss deshalb nicht für jede einzelne Verarbeitungstätigkeit durchgeführt werden, sondern nur, wenn mit einer Datenverarbeitung ein hohes Risiko einhergeht.“

Im Rahmen der Datenschutzfolgenabschätzung nach Artikel 35 DSGVO bewertet der oder die Verantwortliche die datenschutzrechtlichen Risiken im Hinblick auf Rechte und Freiheiten natürlicher Personen. Anschließend beschreibt er oder sie in der DSFA, inwieweit hohe Risiken bestehen und mit welchen angemessenen Maßnahmen einem Datenschutzverstoß vorgebeugt werden kann.

Verantwortliche Person für die Datenschutzfolgenabschätzung

Für die Risikoanalyse gemäß DSGVO ist der oder die Verantwortliche des Verarbeitungsprozesses zuständig. In Unternehmen ist dies üblicherweise die gesetzliche Vertretung, etwa der oder die Geschäftsführer:in einer GmbH oder der Vorstand einer AG. Die Datenschutzfolgenabschätzung betrifft Unternehmen jeder Größe, vom mittelständischen Betrieb bis hin zum Konzern. „Vielen Vereinen ist nicht bewusst, dass auch sie trotz ihres oft gemeinnützigen Charakters eine DSGVO-Risikoabschätzung vornehmen müssen, wenn bei der Datenverarbeitung ein hohes Risiko besteht“, warnt Seiffert.

Die Verantwortung für die Datenschutzfolgenabschätzung lässt sich übrigens nicht delegieren. Der Artikel 35 Abs. 2 DSGVO sieht vor, dass der oder die Verantwortliche den Rat des oder der Datenschutzbeauftragten (DSB) einholt – sofern vorhanden. Diese Person bleibt jedoch immer in einer beratenden Rolle und kann für die DSFA nicht in die Verantwortung genommen werden – egal ob interne:r oder externe:r DSB.

Hohes Risiko: Wann ist eine DSFA durchzuführen?

Zu dieser Frage besagt Artikel 35 Abs. 1 DSGVO:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Die innerbetrieblich für den Verarbeitungsprozess verantwortliche Person muss zunächst prüfen: Liegt überhaupt ein hohes Risiko vor? Nur wenn diese Frage bejaht wird, ist eine Datenschutzfolgenabschätzung gemäß DSGVO durchzuführen. In der Praxis hat sich das Prinzip der drei Säulen bewährt:

1. Säule: Das Unternehmen dokumentiert nach Artikel 30 Abs. 1 DSGVO fortlaufend alle Verarbeitungstätigkeiten in einem Verzeichnis und hält hierzu unter anderem auch technische und organisatorische Maßnahmen fest.

2. Säule: Eine vereinfachte Risikobetrachtung unterstützt die verantwortliche Person bei der Identifizierung von Verarbeitungstätigkeiten mit hohem Risiko. Hierzu kann sie die von den Aufsichtsbehörden geführten Listen mit Verarbeitungstätigkeiten nutzen, für die nach Artikel 35 Abs. 4 DSGVO eine DSFA durchgeführt werden muss (Blacklist). Seiffert erklärt: „Die niedersächsische Aufsichtsbehörde stellt ein hilfreiches Prüfschema zur Verfügung, das eine übersichtliche Möglichkeit zur Prüfung der Notwendigkeit einer DSFA bereitstellt. Weitere Hinweise für die Prüfung liefert das Working Paper 248 der Art. 29-Gruppe (jetzt EDSA – Europäischer Datenschutzausschuss).“

3. Säule: Wird im zweiten Schritt ein hohes Risiko festgestellt, muss schließlich die Datenschutzfolgenabschätzung durchgeführt werden.

Wann braucht man eine Datenschutzfolgenabschätzung? Beispiele im Überblick

Die DSGVO lässt Whitelists zu, die Fälle beschreiben, in denen keine DSFA erforderlich ist. Diese wurden jedoch in Deutschland bislang nicht erarbeitet. Beispiele für Situationen, in denen die Datenschutzfolgenabschätzung gemäß der Blacklist für den nicht-öffentlichen Bereich obligatorisch ist (für öffentliche Stellen gibt es ergänzend in den meisten Bundesländern zusätzliche Listen):

  • Einsatz biometrischer Systeme zur Zutrittskontrolle (z. B. Gesichtserkennungssysteme)
  • Geolokalisierung von Beschäftigten während der Arbeitszeit (z. B. GPS-Tracking im Außendienst)
  • Videosprechstunden von Ärzt:innen per Internetportal
  • von künstlicher Intelligenz unterstütztes Bewerbermanagement zur Vorauswahl von Bewerber:innen
  • automatisierte Auswertung von Mitarbeitergesprächen in Call-Centern durch Audioaufnahmen
  • mobile Überwachung eines Gesundheitszustands (z. B. anhand von online auslesbaren Herzschrittmachern)
  • Nutzung von IT-Softwarelösungen zur Abwehr von Cyberattacken auf Basis der Kontrolle personenbezogener Daten

Durchführung der Datenschutzfolgenabschätzung

Die DSGVO spart Details zur Durchführung der Datenschutzfolgenabschätzung weitgehend aus. Entsprechend hat die verantwortliche Person einen großen Spielraum, solange das Ergebnis die Mindestinhalte umfasst.

Mindestinhalte der Datenschutzfolgenabschätzung nach DSGVO

Welche Inhalte in der Datenschutzfolgenabschätzung enthalten sein müssen, regelt die DSGVO in Artikel 35 Abs. 7. Gefordert werden diese Mindestinhalte:

  • eine systematische Beschreibung der Verarbeitungstätigkeiten und deren Zweck
  • die vom Verantwortlichen mit der Verarbeitung verfolgten, berechtigten Interessen
  • eine Bewertung, inwiefern die Verarbeitungsvorgänge notwendig und verhältnismäßig sind
  • die Bewertung der Risiken, die von der Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen ausgehen
  • die geplanten Abhilfemaßnahmen, um die Risiken zu bewältigen (z. B. Garantien, Sicherheitsvorkehrungen und Schutzverfahren)

Durchführung der DSFA in mehreren Schritten

Bewährt hat sich in der Praxis dieser Ablauf:

1. Schritt: Bildung des DSFA-Teams
Das DSFA-Team sollte aus einem Kernteam bestehen, dem neben dem oder der innerbetrieblichen Fachverantwortlichen auch der oder die Datenschutzbeauftragte und der oder die IT-Verantwortliche angehören. Darüber hinaus kann das Team um weitere Personen erweitert werden. Je nach Fallkonstellation kann es etwa Sinn machen, die Rechtsabteilung oder die Vertretung eines Auftragsverarbeiters hinzuzuziehen, rät Seiffert.

2. Schritt: Kick-off-Meeting
Sobald sich das Team zusammengefunden hat, stellt ein Kick-off-Meeting die Weichen für die Zusammenarbeit. Welche Methode soll für die Schwellwertanalyse verwendet werden? In welchem Umfang soll die Prüfung erfolgen?

3. Schritt: Beschreibung
Das DSFA-Team beschreibt die Art der Datenverarbeitung und hält bereits vorhandene technische und organisatorische Maßnahmen fest.

4. Schritt: Notwendigkeit und Verhältnismäßigkeit
Es ist zu prüfen, ob die Verarbeitungsvorgänge in Hinblick auf den Zweck notwendig und verhältnismäßig sind.

5. Schritt: Bewertung der Risiken
Die festgestellten Risiken sind nun zu bewerten. Hierfür kann eine klassische Risikobewertungsmatrix herangezogen werden, die die Eintrittswahrscheinlichkeit ins Verhältnis zur Schwere des Schadens setzt.

6. Schritt: Geplante Maßnahmen
Im letzten Schritt sind in der DSFA die geplanten Maßnahmen zu beschreiben, mit denen das Unternehmen den Schutz der personenbezogenen Daten sicherstellen möchte.

7. Schritt: Umsetzung der geplanten Maßnahmen

In der Praxis legen die Aufsichtsbehörden Wert darauf, dass der oder die Verantwortliche den Prozess der Datenschutzfolgenabschätzung exakt dokumentiert. Seiffert führt aus: „Es sind also nicht nur die Ergebnisse der Risikoanalyse selbst festzuhalten, sondern auch die Prozesse, die dazu geführt haben. Dies beginnt bei der Dokumentation der verwendeten Formulare oder Tools und geht über die Definition von Zuständigkeiten bis hin zu Freigabeprozessen.“

Tools für die Datenschutzfolgenabschätzung

Da die DSGVO keine Vorgaben zur Durchführung der Datenschutzfolgenabschätzung macht, gibt es viele Rahmengerüste, mit denen Verantwortliche arbeiten können. Ein gutes Beispiel hierfür ist das frei zugängliche Praxishandbuch des Fraunhofer Instituts. Sie bieten Orientierung, sind jedoch keine Tools im engeren Sinne.

Die einzige elektronische Unterstützung in Form einer Software ist unter der Bezeichnung PIA bekannt. Sie wird vom CNIL, der nationalen Datenschutzbehörde Frankreichs, bereitgestellt und ermöglicht eine fundierte Risikoanalyse im Datenschutzbereich. Nachteil: Es müssen zusätzlich zu den für die DSFA erforderlichen Daten auch jene Informationen gepflegt werden, die laut Artikel 30 DSGVO ohnehin bereits dokumentiert werden müssen. Das bedeutet doppelte Arbeit.

Welche Folgen haben Verstöße gegen die Pflicht zur Durchführung der DSFA?

In Übereinstimmung mit Artikel 83 DSGVO können bei Verstößen gegen die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung Bußgelder von bis zu 10 Millionen Euro, alternativ 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Bislang wurden nur in sehr seltenen Fällen Bußgelder infolge eines Verstoßes gegen Artikel 35 DSGVO verhängt. Ebenso gibt es keine Urteile in diesem Bereich.

Handlungsbedarf in vielen Unternehmen

Während in großen Unternehmen noch am ehesten ein Bewusstsein für die Verpflichtung zur Datenschutzfolgenabschätzung herrschen dürfte, besteht insbesondere in kleineren und mittleren Betrieben Handlungsbedarf – ebenso wie in vielen Vereinen. Sie können Praxisleitfäden, Handlungsanweisungen und Rahmenwerke nutzen, um ihre DSFA durchzuführen und eine Risikoabschätzung vorzunehmen.

Bußgelder werden zwar selten verhängt, weil eine notwendige DSFA nicht durchgeführt wurde. Problematisch wird es allerdings, wenn es zu einem Datenschutzverstoß kommt, der sich durch eine Datenschutzfolgenabschätzung und entsprechend abgeleitete Maßnahmen hätte verhindern lassen. Deshalb sollte jedes Unternehmen vorhandene Risiken prüfen und gegebenenfalls Maßnahmen ergreifen.