Mit der EU-Datenschutz-Grundverordnung wurde 2018 das Instrument der Datenschutz-Folgenabschätzung eingeführt (Art. 35 DSGVO). Was eine DSFA ist und was man dabei beachten muss, beschreiben wir in diesem Beitrag.
Der Inhalt im Überblick
Was ist eine Datenschutz-Folgenabschätzung?
Die Datenschutz-Grundverordnung verfolgt einen risikobasierten Ansatz. In diesem Zusammenhang stellt die Datenschutz-Folgenabschätzung (DSFA) eine Verpflichtung für das verantwortliche Unternehmen dar, in bestimmten Fällen bzw. für bestimmte Prozesse eine ausführliche Beschreibung und Bewertung der bestehenden datenschutzrechtlichen Risiken vorzunehmen.
Vor Einführung der Datenschutz-Grundverordnung im Mai 2018 wurde diese Risikoabwägung durch das Instrument der Vorabkontrolle (§ 4d Abs. 5 BDSG a.F.) realisiert. Diese war immer dann durchzuführen, wenn besonders sensible Daten nach § 3 Abs. 9 BDSG a.F. verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten.
Sowohl bei der damals notwendigen Vorabkontrolle als auch bei der Datenschutz-Folgenabschätzung prüft der Datenschutzbeauftragte die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten des Betroffenen und gibt am Ende dieser Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Dies dient der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Auf dieser Basis sollen bereits frühzeitig angemessene Maßnahmen getroffen werden, um die identifizierten Risiken für die Persönlichkeitsrechte der Betroffenen einzudämmen, und die Datenschutz-Konzepte entsprechend anzupassen.
Wann ist eine DSFA vorzunehmen?
Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen, wenn:
„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“.
Der Durchführung der Datenschutz-Folgenabschätzung ist damit eine Schwellwertanalyse vorangestellt, mit der festgestellt wird, ob die Datenverarbeitung einem hohen Risiko unterliegt.
Darüber hinaus werden in Art. 35 Abs. 3 DSGVO Regelbeispiele genannt, bei denen eine Durchführungspflicht besteht:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
Die Aufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist.
Deutsche Positivlisten für die Datenschutz-Folgenabschätzung sowie eine abgestimmte Version der Datenschutzkonferenz sind verfügbar.
Art. 35 Abs. 5 DSGVO enthält zudem eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzungen durchgeführt werden müssen.
Wie ist eine DSFA durchzuführen?
Die DSGVO bestimmt in Art. 35 Abs. 7 Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Diese muss demnach enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.
Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).
Veröffentlichungen und Hinweise zur DSFA
Die Grundverordnung kann nicht mehr leisten als die oben genannten allgemeinen Vorgaben zu machen. Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden sollen, bleibt weitgehend offen. Experten des interdisziplinären „Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt“ haben deshalb ein in einem Whitepaper vorgestelltes Konzept zur Umsetzung der DSFA vorgelegt, an dem Forscherinnen und Forscher des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) mitgewirkt haben. Beschrieben wird das Whitepaper durch das ULD folgendermaßen:
„Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ enthält grundlegende Informationen für alle, die aus jeweils unterschiedlicher Perspektive mit dem neuen Instrument zu tun haben werden: im politischen Entscheidungsprozess, in der Gesetzgebung, in der Technikgestaltung, in der Anwendungskonzeption und schließlich in der Prüfung der Datenverarbeitung. Das Dokument beschreibt ein Vorgehen anhand der Gewährleistungsziele für den Datenschutz, die auch den Prüfungen gemäß Standard-Datenschutzmodell zugrunde liegen.“
Zudem hat sich sowohl die Artikel-29-Datenschutzgruppe dem Thema angenommen, als auch die Datenschutzkonferenz in einem Kurzpapier.
Prüfung und Risikoabschätzung von Datenverarbeitungsvorgängen
Die besonders genaue Prüfung und Risikoabschätzung von Datenverarbeitungsvorgängen, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen ist in vielerlei Hinsicht notwendig.
Auch wurden in den letzten Jahren einige Datenschutz-Folgenabschätzungen für in der Öffentlichkeit bekannte Themen bzw. Anwendungen erstellt, so z.B. für Microsoft 365-Anwendungen oder die Corona-Warn-App. Hier wurde deutlich, dass gerade bei der Verarbeitung sensibler Daten eine ausführliche Prüfung und Bewertung der Risiken erforderlich ist, um entsprechende Gegenmaßnahmen treffen zu können.
Fazit: DSFA zur Risikobewertung von Datenverarbeitungen essentiell
Die Datenschutz-Folgenabschätzung ist und bleibt ein wichtiges Instrument für Unternehmen, um datenschutzrechtliche Risiken schon im Rahmen der Implementierung neuer Prozesse oder Anwendungen zu bewerten, und entsprechende Gegenmaßnahmen zu treffen.
Insbesondere vor dem Hintergrund, dass in vielen Unternehmen und Konzernen vermehrt neue Technologien und Cloud-Strukturen eingeführt werden, ist es umso wichtiger, dass die damit verbundenen Risiken entsprechend bewertet und eingedämmt werden.
Welche Ausnahmen gibt es?
Wie in dem Artikel beschrieben, bestimmt Art. 35 DSGVO wann eine Folgenabschätzung durchzuführen ist. Lässt sich der Sachverhalt bzw. das Verfahren nicht unter diese Norm subsumieren, muss dann eben keine Folgenabschätzung durchgeführt werden. Dies ist im Einzelfall zu prüfen. Ansonsten können festgelegte Ausnahmen bzw. Verarbeitungsvorgänge bei denen keine Folgenabschätzung durchzuführen ist von der Aufsichtsbehörde veröffentlicht werden, Art. 35 Abs. 5 DSGVO.
Link Whitepaper = dead link (Seite existiert nicht)
Vielen Dank für den Hinweis. Haben wir angepasst.
Zitat:
„…Ansonsten können festgelegte Ausnahmen bzw. Verarbeitungsvorgänge bei denen keine Folgenabschätzung durchzuführen ist von der Aufsichtsbehörde veröffentlicht werden, Art. 35 Abs. 5 DSGVO.“
Gibt es diebezüglich von den Aufsichtsbehörden bereits Listen?
Nein, nach unserem Wissen erfolgte noch keine Veröffentlichung.
Danke für die Rückmeldung.
sorry wer soll den KAUDERWELSCH noch verstehen ? haben die Politiker das auch verstanden? wo sind die ausführungen die für einen durchschnittlich normal inteligenten verständlichen sind ?? wenn sich jeder einen RA nur für die Erfüllung dieser Vorgaben nehmen muss dann haben wir zu wenig RA und wir haben bald KEINE mehr die noch was Produktiv arbeiten können Ohne von gravirenden Fehlern im Datenschutz bedroht zu sein. und Keinen mehr der das Risiko zu einem normalen Preis eingeht. Versucht mal KLARE EINDEUTIGE VORGABEN die JEDER Dahergelaufe auf der Straße versteht zu veröffentlichen. wenn die Ampel Rot ist hast du Stehen zu bleiben ! kann jeder nachvollziehen und verstehen !
Hmm,
die DSGVO ist die Legalisierung der Haltung, Verarbeitung von Daten. Den Schutz vor Datenmißbrauch gibt es nicht wirklich, denn jeder kann für sich ein Sammelsorium von Daten machen, so wie es früher gemacht wurde. Lediglich der kommerzielle Bereich erfährt mit der DSGVO Einschränkungen aber auch Sicherheit, was er darf oder nicht. Es geht letztendlich um Datenhandel. Jetzt fällt es ja erst auf, welche Firmen mit unseren Daten arbeiten, da diese jetzt unsere Einverständniserklärung brauchen, da sie ansonsten Probleme bekommen können. Wer die Einverständniserklärung beim Arzt, der die Daten zur automatischen Weitergabe bereithält, nicht unterschreibt, der wird nicht mehr behandelt. Die Weitergabe und die Automatisierung mit der versteckten Weitergabeberechtigung an angeblich „berechtigte Interessenten“ ist das eigentliche Problem. Dies dürfte in Zukunft noch Vielen Kopfschmerzen bereiten. Die somit gläserne Person verliert seine Menschlichkeit, da man ihn vermehrt nicht mehr im Namen des Umsatzes und Wirtschaftswachstums als Mensch betrachtet. Die Einschnitte in Grundrechte und Freiheiten sind durch die Digitalisierung ernorm. Andererseits begeben sich Menschen mit ihrem Webauftritt leicht in Gefahr abgemahnt zu werden. Dies bedeutet dann vermehrte kostenpflichtige Beratung oder weniger Information durch einfache Menschen.
Jaja, für die Wirtschaft wird alles getan ;-)
Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
Alle vorherigen Kommentare und unsere Antworten beziehen sich auf die alte Version des Beitrags und können daher unter Umständen nicht mehr aktuell sein.
Sehr geehrte Damen und Herren, ich erhielt die Info, das in Sorgerechtsverfahren, wo ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, die Folgenabschätzung (Art. 35) und die Aufgaben Absatz 7 nicht anzuwenden sind, und das kein Rechtsanspruch auf eine Folgenabschätzung besteht. Ist diese Aussage richtig? Ich bitte um Auskunft. Vielen Dank.
Wie in dem Artikel dargestellt, müssen Datenschutz-Folgenabschätzungen immer dann durchgeführt werden, wenn die Schwellwertanalyse ergibt, dass die Datenverarbeitung einem hohen Risiko unterliegt.
Jedoch lässt sich dies bei bestimmten Verfahren nicht immer pauschal beantworten, sondern es kommt auf die tatsächliche Ausgestaltung der Datenverarbeitung an. Auch in den Listen von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO der Aufsichtsbehörden, in denen diejenigen Verfahren genannt sind, bei denen Datenschutz-Folgenabschätzungen durchzuführen sind (sogenannte „Muss-Liste“), findet man für Sorgerechtsverfahren keine eindeutige Einordnung.
In der entsprechenden Liste für den öffentlichen Bereich des Landesbeauftragten für den Datenschutz Niedersachsen heißt es jedoch beispielsweise: „Umfangreiche Erhebung und Verarbeitung von personenbezogenen Daten im Rahmen der Kinder- und Jugendhilfe, insbesondere der Beratung und Beantragung von Hilfen zur Erziehung“ sowie „Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts“, woraus sich zumindest ableiten lässt, dass in entsprechenden Verfahren Datenschutz-Folgenabschätzungen durchzuführen sind.