Sowohl die DSGVO als auch die Norm ISO 27701 sehen für bestimmte Fälle die Durchführung einer Datenschutz-Folgeabschätzung (DSFA) vor. Dieser Artikel ist Teil unserer Reihe zur „Datenschutz-Zertifizierung nach ISO 27701“.
Der Inhalt im Überblick
Welche Vorgaben hat die DSGVO im Bereich Datenschutz-Folgenabschätzung (DSFA)?
In bestimmten Fällen sind Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen, und zwar, wenn eine Form der Verarbeitung von personenbezogenen Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Ein hohes Risiko ist insbesondere bei neuen Technologien aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke hinsichtlich der Verarbeitung von personenbezogenen Daten anzunehmen. In diesem Artikel wird noch nicht auf den – sowohl nach der DSGVO als auch nach der ISO 27701 zentralen – Begriff „Risiko“ näher eingegangen. Der Risikobeurteilung und Risikobehebung wird in dieser Blogreihe später ein eigenständiger Artikel gewidmet.
Die Aufsichtsbehörden für den Datenschutz haben Listen von Verarbeitungsvorgängen erstellt, bei denen typischerweise eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen sind (sog. Positiv- oder Muss-Listen). Eine Übersicht der behördlichen DSFA-Listen kann hier abgerufen werden.
Die DSGVO bestimmt in Art. 35 Abs. 7 DSGVO die Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Demnach muss diese folgende Punkte enthalten:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden soll.
Mehr dazu finden Sie im Beitrag Datenschutz-Folgenabschätzung: Was ist das überhaupt?
Welche Vorgaben hat die ISO 27701 im Bereich Datenschutz-Folgenabschätzung (DSFA)?
Der Begriff Datenschutz-Folgenabschätzung (DSFA) findet in der Norm 27701 an mehreren Stellen eine Erwähnung. Die ISO 27701 Unterkapitel 6.3.1.1 sieht zusätzlich zu der Maßnahme aus Kapitel 6.1.1 der ISO 27002, dass das Unternehmen die Informationssicherheitsrollen und -verantwortlichkeiten benennen muss, vor, dass eine verantwortliche Person für organisationsweite Steuerungs- und Datenschutzprogramm benannt wird. Die DSGVO kennt diese Person unter dem Begriff „Datenschutzbeauftragter“. Diese verantwortliche Person muss in der Lange sein, Auskunft in Bezug auf die von dem Unternehmen durchgeführten Datenschutz-Folgenabschätzung zu geben. Diese Anforderung gilt unabhängig davon, ob das Unternehmen als PII-Beauftragten oder PII-Verarbeiter auf dem Markt agiert.
Anforderungen an PII-Beauftragten
Kapitel 7.2.5 der ISO 27701 besagt, dass ein Unternehmen immer dann, wenn eine neue Verarbeitung von personenbezogenen Daten oder Änderungen an der bestehenden Verarbeitung von personenbezogenen Daten geplant ist, die Notwendigkeit einer Datenschutz-Folgenabschätzung prüfen und diese gegebenenfalls durchführen muss.
Grund hierfür ist laut Anleitung der Maßnahme, dass die Verarbeitung von personenbezogenen Daten Risiken für betroffene Personen erzeugt. Diese Risiken sollten durch eine Datenschutz-Folgenabschätzung beurteilt werden. Einige Rechtssysteme definieren Fälle, für die eine DSFA vorgeschrieben ist (z.B. Art. 35 DSGVO). Zu den Kriterien können die automatisierte Entscheidungsfindung, die rechtliche Auswirkungen auf betroffene Personen hat, eine groß angelegte Verarbeitung von personenbezogenen Daten (z. B. gesundheitsbezogene Informationen, ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten oder biometrische Daten) oder die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab gehören.
Weiterhin steht in der Anleitung der Maßnahme, dass die Organisation die Elemente bestimmen sollte, die für den Abschluss einer Datenschutz-Folgenabschätzung notwendig sind. Dazu kann eine Liste der verarbeiteten Arten von personenbezogenen Daten gehören, wo die personenbezogenen Daten gespeichert sind und wohin sie übertragen werden können. Datenflussdiagramme und Datenkarten können in diesem Zusammenhang ebenfalls hilfreich sein. Die Norm sieht also vor, dass – bevor eine DSFA durchzuführen ist – ein Verarbeitungsverzeichnis erstellt werden sollte.
Außerdem kann es sinnvoll sein, wenn das Unternehmen eigene Positiv- und Negativlisten mit Verarbeitungstätigkeiten, für die zwingend eine Datenschutz-Folgenabschätzung durchzuführen ist, erstellt oder zumindest auf die Positivlisten der Datenschutzaufsichtsbehörden heranzieht.
Des Weiteren wird in der Norm darauf hingewiesen, dass die Anleitungen zu Datenschutz-Folgenabschätzungen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten der ISO/IEC 29134 entnommen werden können.
Anforderungen an PII-Verarbeiter
Die ISO 27701 sieht nicht zwingend vor, dass ein PII-Verarbeiter (Auftragsverarbeiter i.S.d. DSGVO) zu prüfen hat, ob bei Verarbeitungstätigkeiten, die im Auftrag eines PII-Beauftragten (Auftraggeber i.S.d DSGVO) erbracht werden, eine Datenschutz-Folgenabschätzung durchzuführen ist.
Allerdings sieht Kapitel 8.2.1 der ISO 27701 vor, dass ein PII-Verarbeiter mit den Kunden die Durchführung von DSFA (soweit dies relevant ist) vertraglich geregelt haben muss.
Kapitel 8.2.6 der ISO 27701 enthält die Maßnahme zu den Aufzeichnungen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten. Solche Aufzeichnungen können in Form von Verarbeitungsverzeichnissen i.S.d. Art. 30 Abs. 2 DSGVO geführt werden. Es ist sinnig, in den Verarbeitungsverzeichnissen des PII-Verarbeiters zu dokumentieren, ob eine DSFA durchzuführen ist und wenn ja, von wem.
Kann der Prozess Durchführung von Datenschutz-Folgenabschätzungen (DSFA) in das bestehende ISMS integriert werden?
Es ist sehr sinnvoll den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen mit dem Prozess zur Erstellung und Pflege von Verarbeitungsverzeichnissen zu vereinen. Ein solcher integrierter Prozess sieht vor, dass bei jeder Verarbeitungstätigkeit, die in das Verarbeitungsverzeichnis aufgenommen wird, am Ende die Feststellung zu treffen ist, ob eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Kriterien, wann eine DSFA durchzuführen ist, sind ebenso in dem Prozess zu beschreiben. Kommt das Unternehmen zu dem Ergebnis, dass eine DSFA bei der Verarbeitungstätigkeit erforderlich ist, ist eine umfassende Beurteilung der durch die Verarbeitungstätigkeit erzeugten Risiken für betroffene Personen vorzunehmen.
Da das Thema Datenschutz-Folgenabschätzung sehr speziell ist, erscheint eine Integration in die bestehende ISMS (Einzel-)Prozesse nicht sinnig.
In unserem nächsten Blogbeitrag der Reihe „Datenschutz-Zertifizierung nach ISO 27701“ beschäftigen wir uns mit dem Thema „Auftraggeber-Management & Kundenzufriedenheit“.
