In Art. 35 DSGVO steckt viel Musik! Laura und Cornelius bereiten die undurchsichtige Datenschutz-Folgenabschätzung strukturiert auf. Cornelius stört sich nicht nur am Aufbau, sondern stellt die gesamte Systematik in Frage. Trotz der grundlegenden Bedenken werden alle wichtigen Punkte zum Vorgehen und auch praktische Ansätze besprochen. Von Blacklist über Sonderlocken in Bayern bis zur unwahrscheinlichen Konsultation bei der Aufsichtsbehörde wird alles erklärt. Sinn und Unsinn der DSFA führt die beiden jedenfalls harmonisch zusammen.
00:00:00 Intro
00:01:08 Einleitung
00:02:11 All time favorite: Die Datenschutz-Folgenabschätzung
00:03:20 Art. 35 DSGVO, was steht drin?
00:05:41 „Wat iss’n DSFA?“ – Profiling, systematische Überwachung, großer Umfang etc.
00:08:51 Schwarz/Weiß-Sicht der Aufsichtsbehörden
00:11:24 Blacklist des BayLDA – Sonderlocken der Bayern
00:13:47 DSFA-Klassiker: Videoüberwachung
00:16:35 Risko mindern oder maximieren – hä?
00:19:48 Prüfungspflicht bei hohem Risiko!?
00:22:14 Was wäre, wenn! Künstlich und konstruiert
00:25:02 Der Clou der Datenschutz-Folgenabschätzung – Es reicht einfach nicht!
00:28:06 Konsultation der Aufsichtsbehörde
00:30:08 Outro
Die DSFA im Datenschutz ist funktional äquivalent zu einer FMEA im QM. Es geht darum, wegen des prinzipiell hohen Risikos der Verarbeitung die Risiken systematischer zu erfassen und zu behandeln, als das sonst üblich ist, um sich nicht auf Instinkt, Tagesform, Abschätzungen und Augenzwinkern verlassen zu müssen. Damit muss sie VOR der Implementierung ergriffen und auch danach weitergeführt werden. Sie ist ein iterativer Prozess, der eigentlich auch aktuell gehalten werden muss. Der Sinn ist nicht nur, Maßnahmen zu finden, die das Risiko auf ein akzeptables Niveau senken. Der primäre Sinn ist, sich die verschiedenen Risikoszenarien erstmal bewusst zu machen und zu prüfen, wo diese noch relevant sein könnten und ob und wenn ja welche Maßnahmen notwendig sind. Wenn man dann feststellt, dass man bereits standardmäßig alle notwendigen Maßnahmen ergreift, um so besser (ist aber ganz ehrlich unrealistisch). Es gibt da rein logisch auch kein „ich brauche keine DSFA“, wenn die Verarbeitung an sich eine Hochrisikoverarbeitung ist. Das wäre wie beim Bau eines Autos keine FMEA zu machen, mit dem Resultat, dass die Leute reihenweise aufgrund versagender Bremsen gegen nen Baum fahren, weil man halt aufgrund unsystematischer Betrachtungsweise doch etwas vergessen hat. Man kann auch gar nicht wissen, ob man alles richtig macht, wenn man keine DSFA (also systematische Erfassung der Risiken und ihrer potenziellen Folgen) gemacht hat. Dass man dann in diesem iterativen Prozess Maßnahmen festlegt, um das Risiko runterzubringen auf ein akzeptables Niveau ist vor allen Dingen eine Frage der Rechtmäßigkeit der Verarbeitung. Ich könnte genauso gut auch an jeder Stelle abbrechen und sagen „Ach ne, ich lass das bleiben!“ und hätte trotzdem eine ordentliche DSFA gemacht.
Was ich in der Praxis sehe in Sachen DSFA ist aber häufig purer sinnloser Dilettantismus ohne praktische Relevanz. Praktisch ist eine DSFA tatsächlich nur dann nützlich, wenn sowohl DSB als auch Geschäftsführung ihre Datenschutzverpflichtungen ernst nehmen. Aber da greift dann, dass man eben auch an dieser Stelle nur Berater ist und unterstützt. Die Ernsthaftigkeit kann man den Leuten als DSB nicht verbindlich vorschreiben. Aber ganz ehrlich, wenn ich Aufsichtsbehörde wäre, und jemand würde mir die DSFA’s vorlegen, die ich in der Praxis so zu sehen bekomme, würde ich die wohl in der Luft zerreißen.
Vielen lieben Dank für das ausführliche Feedback! Wir finden auch, dass die DSFA ein spannendes Thema ist. Wie immer gilt auch hier, wenn man jedoch nur halbherzig an die Aufgabe geht, sind die datenschutzrechtlichen Schlussfolgerungen und Maßnahmen von geringen bis gar keinem Wert. Wir wollten auch auf keinen Fall die notwendige Betrachtung von Risiken herunterspielen. Ihre Erläuterungen und das sehr pragmatische Beispiel unterstreichen auch unsere Sichtweise!
Ich verstehe Ihr sytematisches oder auch methodisches Problem mit der DSFA nicht. Der Prüfmechanismus ist derselbe, den die Verantwortlichen bei jeder Verarbeitung durchführen muss – nur etwas aufgebohrt hinsichtlich Dokumentations – und Nachweispflichten. Übrigens mache ich eine DSFA vor (!!!) der Implementierung einer Verarbeitung. Somit entfällt der m.E. nach gedanklich von Ihnen konstruierte Zirkelschluss hinsichtlich der risikosenkenden Maßnahmen.
Hilfreiches Tool ist der PIA-Check der CNIL:
Hier führt einen die Checkliste durch Fragen zum Kontext (bspw. „Welche Daten werden verarbeitetet?“ oder „Wie verläuft der Lebenszyklus von Daten und Prozessen?“ , zu den grundlegenden Prinzipien (bspw. „Sind die Verarbeitungszwecke eindeutig definiert und rechtmäßig?“ oder „Sind die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt?“) und den risikosenkenden Maßnahmen (bspw. „Sind die potenziellen Schadszenarien für die betroffenen Personen ausreichend ermittelt?“ oder „Sind ausreichende (in Qualität und Anzahl) risikominimierende Maßnahmen definiert und beschrieben?“.
Wer es bürokratisch überkomplex und mit juristischem Verwaltungsprosa mag: das SDM kann auch helfen…. ;-)
Vielen Dank für das Feedback! Das PIA-Tool von der CNIL ist sehr hilfreich – insgesamt empfiehlt es sich auf jeden Fall die durchgeführten DSFAs in das vorhandene Datenschutzmanagement zu integrieren.
Eine enge Auslegung der Vorschrift, unter Berücksichtigung vom Wortlaut der Präposition „bei“, lässt den Schluss zu, dass lediglich die Verarbeitung und Nutzung von Daten in der tatsächlich vorgenommenen Art und Weise in Betracht kommt. Demnach können mögliche Risikoabwägungen auch nur anhand der tatsächlichen vorgenommenen Verarbeitung der personenbezogenen Daten getroffen werden. Eine hypothetische Verarbeitung folgt demnach nicht dem Sinn und Zweck der Vorschrift. Ich erkenne hier ebenfalls einen Zirkelschluss, welcher im Podcast treffend beschrieben wurde.
Der Wortlaut der DSGVO in Artikel 35: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Eindeutiger geht es nun wirklich nicht. Die Zirkelschlussinterpretation ist für mich in keinster Weise nachvollziehbar.
Das Wort „voraussichtlich“ ist für mich entscheidend. Es geht um das „Brutto“-Risiko (also ohne Zurechnung der technisch-organisatorischen Gegenmaßnehmen). Siehe Seite 574 in meinem Datenschutz-Praxisleitfaden PrivazyPlan®. Auch der Erwägungsgrund 75 lässt sich so lesen: Die Risiken gehen aus der Verarbeitung hervor (… und nicht aus der Wirksamkeit meiner TOMs). Die Verarbeitung an sich ist mit ihren innhärenten Risiken der Maßstab.
Daher spielt es für die Entscheidung zur DasFA keine Rolle, welche Maßnahmen ich bereits getroffen habe. Es gibt keinen Zirkelschluss, und die meisten Baustellen im Podcast würden sich damit auflösen.
Übrigens gibt es noch einen zusätzlichen Baustein, auf den hier nicht eingegangen wurde: Für JEDE Verarbeitung fordert die DSK eine „minimale“ DasFA. Meiner Meinung nach würde man (auch) dort feststellen können: Oha, da gibt es aber erhebliche Risiken!
Kleiner Hinweis: Es gibt keine „eigene“ Blacklist der bayrischen Datenschutzbehörde. Vielmehr gilt die Blacklist der DSK für Unternehmen und die Blacklist der Datenschutzbehörde des jeweiligen Bundeslandes (soweit vorhanden – Hessen hat z.B. keine) für die Behörden. Das hat man mir damals auf telefonische Nachfrage beim Hessischen Beauftragten für Datenschutz erklärt.
Vielen Dank für den Hinweis – für die jeweiligen Unternehmen in Bundesländern mit eigner Liste ein wichtiger Punkt!