Die Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument der Datenschutzgrundverordnung, welche im Artikel 35 DSGVO geregelt ist. Viele Unternehmen scheuen sich jedoch vor der Durchführung oder erfüllen nicht alle Voraussetzungen nach der DSGVO. In diesem Artikel wird betrachtet, wann eine DSFA durchzuführen ist, welchen Inhalt diese haben muss und welche Best Practices es gibt.
Wann ist eine DSFA durchzuführen?
Eine DSFA ist nach Art. 35 (1) DSGVO erforderlich, wenn bei der Verarbeitungen, vor allem bei Verwendung von neuen Technologien, durch die Art, den Umfang und den Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entsteht. In diesem Falle hat der Verantwortliche eine Datenschutz-Folgenabschätzung durchzuführen. Werden mehrere ähnliche Verarbeitungen vorgenommen, so kann eine einzige Abschätzung durchgeführt werden, wenn ein ähnlich hohes Risiko vorliegt. Weiterhin definieren Art. 35 (3),(4) DSGVO weitere Fälle, wann eine DSFA durchzuführen ist. Art. 35 (3) DSGVO definiert, dass eine DSFA durchzuführen ist, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung inkl. Profiling stützt und wiederum als Entscheidungsgrundlage dient, erfolgt. Dies gilt nur, wenn eine Rechtswirkung oder eine vergleichbare Wirkung gegenüber der natürlichen Person entsteht. Ebenso wenn eine systematische und umfangreiche Überwachung von öffentlich zugänglichen Bereichen durchgeführt wird oder umfangreiche Verarbeitungen von Daten nach Art. 9 Abs. 1 DSGVO oder nach Art. 10 DSGVO erfolgt.
Art. 35 (4) DSGVO legt fest, dass die Aufsichtsbehörden eine Liste von Verarbeitungstätigkeiten definieren, für welche immer eine Datenschutz-Folgenabschätzung durchzuführen ist. Umgangssprachlich werden diese als Blacklist bezeichnet. Beispielhaft ist die „Blacklist“ der Aufsichtsbehörde Baden-Württemberg unter folgenden Link abrufbar: Blacklist. Es ist zu beachten, dass die Liste der entsprechend zuständigen Aufsichtsbehörde verwendet wird. Von der Möglichkeit nach Art. 35 (5) DSGVO eine „Whitelist“ zu definieren, für welche keine DSFA zu erstellen ist, wurde Stand 19.09.2023 in Deutschland kein Gebrauch gemacht.
Grundsätzlich ist zu beachten, dass die Datenschutz-Folgenabschätzung vor dem Beginn der Verarbeitung durchzuführen ist.
Welcher Mindestinhalt gehört in eine Datenschutz-Folgenabschätzung?
In der Datenschutz-Grundverordnung wird in Artikel 35 Abs. 7 der Mindestinhalt der DSFA definiert, welcher nicht unterschritten werden darf. Dabei wird gefordert, dass die Abschätzung mindestens vier Informationen enthalten muss:
- Beschreibung (systematisch) der geplanten Verarbeitungsvorgänge unter Angabe des Zwecks der Verarbeitung und ggf. des verfolgten berechtigten Interesse des Verantwortlichen
- Zweckbezogene Bewertung der Notwendigkeit und der Verhältnismäßigkeit der Verarbeitungsvorgänge
- Risikobewertung für die Rechte und Freiheiten der betroffenen Personen (gemäß Artikel 35 Abs. 1 DSGVO)
- Geplante Abhilfemaßnahmen zur Bewältigung der Risiken inkl. der Garantien, Sicherheitsvorkehrungen und Verfahren, welche den Schutz der personenbezogenen Daten sicherstellen. Zusätzlich Angabe der Nachweise zur Einhaltung der Verordnung, wobei den Rechten und berechtigten Interessen sämtlicher Betroffenen Rechnung getragen wird
Wie erkenntlich ist, handelt es sich bei der Datenschutz-Folgenabschätzung um eine Kombination des Verarbeitungsverzeichnisses, einer Risikobewertung und einer Aufführung der TOM zur Sicherstellung der Einhaltung des Datenschutzes. Diese werden anschließend zu einer Gesamtbewertung zusammengeführt.
Bei diesem Inhalt handelt es sich um die Mindestangaben, welche nach eigenem Ermessen erweitert werden können. Es ist dabei darauf zu achten, dass die Ergänzungen zum Erreichen einer sinnvollen Abschätzung beitragen.
Welche Best Practices gibt es bei der DSFA?
In der Praxis hat sich gezeigt, dass es essenziell ist im Bereich der DSFA einen firmeninternen Standard zu implementieren. Dies gilt auch für die anderen Dokumente im Bereich Datenschutz. Daher sollte eine gemeinsame Vorlagenbasis geschaffen werden, welche verbindlich zu benutzen ist. Die Erstellung der DSFA erfolgt dann im Anschluss an die Erstellung der anderen verbindlichen Dokumente zum Datenschutz, da diese bereits eine Vorarbeit zur Datenschutz-Folgenabschätzung leisten. Empfehlenswert ist weiterhin die Einbeziehung aller betroffenen Parteien, d. h. Fachverantwortliche für die jeweils betroffenen Bereiche, die Verantwortlichen für die Verarbeitung, Verantwortlicher IT, usw. Wenn ein Datenschutzbeauftragter benannt ist, dann hat der Verantwortliche nach Art. 35 (2) DSGVO diesen hinzuzunehmen und um Rat zu bitten. Weiterhin zeigte sich ein Nachteil bei der Durchführung einer DSFA für mehrere Verarbeitungen: Feinheiten bei den unterschiedlichen Verarbeitungen können zu unterschiedlichen Ergebnissen führen, welche bei einer gemeinsamen Abschätzung eher zu einem allgemeinen negativen oder falsch positiven Ausgang führt. Daher sollte von dieser Möglichkeit nur äußerst vorsichtig und zurückhaltend gebrauch gemacht werden. Besser ist die Erstellung einzelner DSFA, wobei Informationen aus den andern Dokumenten übernommen werden können.
Neben diesen Punkten sind auch die weiteren Vorgaben der DSGVO zu beachten, im Besonderen die weiteren Absätze des Art. 35 DSGVO. Im Rahmen der praktischen Erfahrungen, wurde deutlich, dass es bei solchen Tätigkeiten stets zu empfehlen ist, externe Kompetenzen einzubinden. Dies gilt dann, wenn intern keine entsprechende Expertise vorhanden ist oder das Level der geforderten/gewünschten Expertise über der vorhanden liegt.
Fazit
Die Datenschutz-Folgenabschätzung ist ein wichtiges Werkzeug im Datenschutz und sollte im Zweifel auch durchgeführt werden, wenn diese nicht vorgeschrieben ist. Mit der DSFA kann der Verantwortliche eine erweitere Abwägung und Risikobewertung durchführen, als dies mit einer normalen Risikoschätzung der Fall wäre. Des Weiteren kann der Verantwortliche mit dieser nachweisen, dass er sich detailliert mit den Folgen seiner Handlungen auseinandergesetzt hat. Es sollte daher gelten: In dubio pro DSFA.
Gerne unterstützen wir Sie bei der Durchführung der Datenschutz-Folgenabschätzung. Weitere Informationen erhalten Sie hier: Datenschutz Beratung
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Beiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.