Datenschutz-Folgenabschätzung mit Beispielen und Muster/Vorlage

Die Datenschutz-Folgenabschätzung ist ein Instrument, das selbst drei Jahre nach Inkfrafttreten der DSGVO für viele nach wie vor ein Buch mit sieben Siegeln ist.

Darum möchten wir Ihnen nachfolgend Sinn und Zweck und typischen Anwendungsfälle näherbringen sowie ein Muster bzw. eine Vorlage zur Verfügung stellen.

Sinn und Zweck der Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist eine Risikoanalyse, wie die DSGVO sie an vielen Stellen vorsieht.

ErwG 84 DSGVO erläutert Sinn und Zweck der Datenschutz-Folgenabschätzung wie folgt: „Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer DSFA, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein.“

Eine allgemeine Risikoanalyse gibt es z.B. auch bei der Aufstellung und Prüfung der technischen und organisatorischen Maßnahmen nach Art. 28 DSGVO: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“.

Die Datenschutz-Folgenabschätzung ist im Kern eine umfangreichere Art der Risikoanalyse für diejenigen Verarbeitungen, die für die Betroffenen ein hohes Risiko bergen.

Wann eine Datenschutz-Folgenabschätzung durchzführen ist

Maßgeblich ist ein hohes Riskiko für die Betroffenen. Die Aufsichtsbehörden können hierzu sogenannte „Muss-Listen“ erstellen, für Fälle in denen eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Datenschutzkonferenz, also das Zusammentreffen der Datenschutz-Aufsichtsbehörden in Deutschland, hat hierzu ein anschauliches sog. Kurzpapier (also eine kurze Stellungnahme bzw. Empfehlung) herausgegeben: https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf.

In dieser finden sich nicht nur abstrakte Kriterien, sondern auch konkrete Beispiele für Verarbeitungen, die eine Datenschutz-Folgenabschätzung notwendig machen und anhand derer auch ein Gefühl dafür entwickelt werden kann, ob eine Datenschutz-Folgenabschätzung notwendig ist. Bei Verarbeitungen, die eine geringere Tragweite für die betroffenen Personen als die Beispiele im Kurzpapier der Datenschutzkonferenz haben, wird in aller Regel keine Datenschutz-Folgenabschätzung notwendig sein. Gleichzeitig sind diese Listen nicht abschließend, nicht aufgeführte Verarbeitungen können daher ebenfalls in den Anwendungsbereich von Art. 35 DSGVO fallen und eine Datenschutz-Folgenabschätzung voraussetzen.

Die Erstellung einer Datenschutz-Folgenabschätzung rechfertigt jedoch nicht bereits die Verarbeitung von Daten. So ist zunächst eine Verarbeitung anhand der Art. 6 und 9 DSGVO zu messen, für die bei erhöhtem Risiko dann eine Datenschutz-Folgenabschätzung zu erstellen ist. So kann beispielsweise eine Verarbeitung durch die Einwilligung einer Person zulässig sein, für die jedoch vorab die Risiken dokumentiert und mögliche Gegenmaßnahmen in Betracht gezogen werden muss. Die Dokumentation hat laut Gesetz vorab zu erfolgen, bei bereits bestehenden Datenverarbeitungen sollte die Erstellung nachgeholt werden. Dies gilt ebenfalls wenn sich risikobehaftete Änderungen bei Verarbeitungsvorgängen ergeben. Eine trotz Pflicht nicht erfolgte Datenschutz-Folgenabschätzung kann zu einem empfindlichen Bußgeld führen.

Bei Unsicherheiten empfiehlt sich hier die Rückfrage bei einem Datenschutzbeauftragten. Dieser sollte aufgrund seiner Erfahrung, bei der Einordnung sowie der Erstellung von Kriterien, an einer schnellen und zielorientierten Lösung mitwirken können. Bestenfalls unterstützt er Sie mit Mustern oder Vorlagen, im Idealfall erstellt er für Sie bereits die Dokumentation.

Muster bzw. Vorlage für eine Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung könnten Sie z.B. anhand folgendem Muster bzw. Vorlage durchführen:

Erster Schritt: Beschreibung der Verarbeitung

Im ersten Schritt sind der Sachverhalt und die eingesetzte Technik detailliert zu beschreiben, vgl. Art. 35 Abs. 7 DSGVO: „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen“.

Bestandteil dieser Beschreibung sollten sein

  • Angaben zum Verantwortlichen und zu den Betroffenen (Konstellation/Rollen)
  • Angaben zur Verarbeitung (orientieren Sie sich an Art. 30 DSGVO)
  • Angaben zur Technik und zu den ggf. beteiligten Dritten (für die Lokalisierung von Risiken)

Zweiter Schritt: Bewertung von Notwendigkeit und Verhältnismäßigkeit

Im zweiten Schritt ist nach Art. 35 Abs. 7 DSGVO „eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“ durchzuführen.

Hier kann im Freitext analysiert und begründet werden, dass und warum die Verarbeitung

  • legitim (es muss ein nachvollziehbares/positives Ziel verfolgt werden) und
  • notwendig und verhältnismäßig ist (das Ziel darf nicht einfacher und mit weniger Risiken für die Betroffenen erreichbar sein)

Dritter Schritt: Bewertung der Risiken für die Betroffenen

Im dritten Schritt ist nach Art. 35 Abs. 7 DSGVO „eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen“ durchzuführen.

Hier sind im Wege der für die DSGVO typischen Risikoanalyse folgende Aspekte zu untersuchen:

  • die Risiken wie Einbuße von Rechten oder Freiheiten, Diskriminierung, Identitätsdiebstahl, finanzielle Verluste etc. (vgl. ErwG 4 und 75)
  • die Einfallstore für Risiken wie unbefugter Zugriff, unerwünschte Veränderung von Daten, Verlust von Daten etc.
  • die möglichen Angreifer und Risikoquellen (um sodann im vierten Schritt die gefundenen Risiken zu minimieren)

Vierter Schritt: Minimierung der Risken für die Betroffenen

Die identifizierten Risiken sind durch geeignete Maßnahmen zu minimieren.

Wenn z.B. die Gefahr besteht, dass Dritte an die Daten gelangen könnten, wären je nach Ursprung der Gefahr mögliche Maßnahmen:

  • Beschränkungen des eingesetzten Hardware- und Software
  • Verschlüsselung der Daten
  • Protokollierung aller Aktivitäten
  • Schulungen der an der Verarbeitung Beteiligten
  • Verrpflichtungs- und Vertraulichkeitserklärungen

Welche Maßnahmen konkret ergriffen werden können/sollten, hängt von den ermittelten Risiken ab. Diese sind gezielt zu vermindern, um die Betroffenen zu schützen.

Können mithilfe dieser Maßnahmen die Risiken – nach Ihrer gut begründbaren Einschätzung – ausreichend miniert werden, so ist die Datenschutz-Folgenabschätzung abgeschlossen.

Sie möchten mehr über dieses Thema erfahren?

Wenden Sie sich mit Ihren Fragen gerne an uns. Wir unterstützen Sie nicht mit leeren Mustern und Vorlagen, sondern erstellen für Sie die Dokumentation. Für eine schnelle und individuelle Beratung lohnt es sich auf einen Datenschutzbeauftragten zu vertrauen.

Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.