DE
DE EN ES

Folgenabschätzung für den Datenschutz gemäss der DSGVO

Durch das Inkrafttreten der DSGVO gab es viele wichtige Änderungen in Bezug auf den Datenschutz für Unternehmen. Darunter wird auch das Instrument der Datenschutz-Folgeabschätzung (kurz DSFA) gefasst.

Datenschutzrechtliche Folgeabschätzungen sollen insbesondere dazu dienen, bei besonders kritischen Datenverarbeitungen Risiken zu identifizieren und zu bewerten, um effektive Massnahmen zur Risikominimierung zu treffen. Für Verantwortliche besteht daher die Pflicht, vor Beginn neuer Prozesse zur Datenverarbeitung im Unternehmen eine Abschätzung der Folgen vorzunehmen und dies zu dokumentieren.

Eine gute Strategie zur Datenschutz-Folgeabschätzung lohnt sich in mehreren Hinsichten. Doch worauf müssen Unternehmen achten? Und wie gehen Sie am besten vor, wenn Sie eine solche DSFA etablieren und nachhaltig in ihre Unternehmensprozesse integrieren möchten? Mehr dazu erfahren Sie in diesem Artikel.

Das Wichtigste in Kürze
  • Seit Mai 2018 ist die Datenschutz-Folgeabschätzung verbindlich für die meisten Behörden und privaten Unternehmen, die besondere Kategorien von personenbezogenen Daten erheben, verarbeiten und nutzen.
  • Eine Datenschutz-Folgeabschätzung ist immer dann vorzunehmen, wenn durch die Verarbeitungsprozesse hohe Risiken für die Rechte und Freiheiten betroffener Personen.
  • Die Folgenabschätzung liefert eine systematische Vorabbewertung der Risiken und Fehlerquellen von Datenverarbeitungen.
  • Zusätzlich sollen durch die Datenschutz-Folgeabschätzungen auch Strategien entwickelt und integriert werden, die Risiken im konkreten Verarbeitungsprozess verhindern.
Was ist die Datenschutz-Folgenabschätzung der DSGVO?

Die gesetzlichen Anforderungen verpflichten Unternehmen dazu, bei bestimmten Datenverarbeitungen eine ausführliche Beschreibung und umfassende Bewertung für bestehende datenschutzrechtliche Risiken vorzunehmen (eine sogenannte Datenschutz-Folgenabschätzung). Diese Folgenabschätzung ist nicht neu, sondern löst die Vorkontrolle ab, die – je nach Land – vor der Einführung der DSGVO durchzuführen war, um datenschutzrechtlichen Risiken vorzubeugen.

Bei der Folgeabschätzung prüfen Datenschutzbeauftrage und Prozessverantwortliche die besonderen Risiken, die mit der Durchführung bestimmter Datenverarbeitungen einhergehen. Besonders ist dabei auf die Risiken für die Rechte und Freiheiten der Betroffenen zu achten. Ziel ist es, die gefundenen Risiken zu analysieren und zu bewerten. In einem nächsten Schritt können hohe Risiken eliminiert und Prozesse optimiert werden.

Ist eine Eliminierung nicht möglich, sollten alle Risiken zumindest minimiert und kontrolliert werden. Unternehmen müssen also frühzeitig geeignete Massnahmen (TOM) treffen, um die identifizierten Risiken einzudämmen und die Prozesse entsprechend anzupassen. 

Diese optimierte und strukturierte Risikoanalyse muss mindestens die folgenden Inhalte aufweisen:

  1. Die genaue Beschreibung der geplanten Verarbeitungsvorgänge und der jeweiligen Verarbeitungszwecke sowie die berechtigten Interessen des Unternehmens an den Prozessen,
  2. Bewertung der Erforderlichkeit und die Notwendigkeit der Datenverarbeitung in Bezug auf den Zweck,
  3. Beurteilung von Risiken für die Freiheiten und Rechte der Betroffenen,
  4. Aufstellung von angemessenen Massnahmen zur Risikominimierung, Sicherheitsvorkehrungen und Notfall-Verfahren.

Dieser Ablauf geschieht in einem Konsultationsprozess bei welchem die Stakeholder im Rahmen der Verarbeitung angehört werden. Nach diesem Schema ist bei jeder Datenschutz-Folgeabschätzung vorzugehen. Dabei müssen Unternehmen auf eine saubere Dokumentation achten, denn diese dient im Zweifel nicht nur der eigenen Accountability oder der Einweisung der Angestellten, sondern fungiert auch als Beweis der ordnungsgemäss durchgeführten Folgeabschätzung für die zuständigen Aufsichtsbehörden.

Gut zu wissen: Kann eine gesetzeskonforme Folgenabschätzung nicht dargelegt werden, drohen empfindliche Bussgelder. Gehen Sie bei der Dokumentation der Folgeabschätzung daher gewissenhaft vor, um Sanktionen zu vermeiden.

Auf der Priverion Plattform können Sie Folgeabschätzungen unkompliziert mithilfe von Vorlagen vornehmen und übersichtlich dokumentieren. So können Sie einfach feststellen, bei welchen Prozessen ein erhöhtes Risiko besteht und entsprechende Massnahmen einleiten.

Warum ist eine Folgenabschätzung im Datenschutz notwendig?

Die Datenschutz-Grundverordnung (DSGVO) verfolgt einen risikobasierten Ansatz. Das bedeutet, dass jeder Vorgang, der mit personenbezogenen Daten zu tun hat, auf sein Risiko überprüft wird. Dabei unterliegen nur die risikoträchtigen Verfahren einer Regulierung. Auch die Datenschutz-Folgenabschätzung ist eine Risikoanalyse.

Der Sinn und Zweck einer Folgenabschätzung wird in der DSGVO (Erwägungsgrund 84) folgendermassen erläutert:

„Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer DSFA, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein.“

Wie bei allen Instrumenten der DSGVO dient also auch die Folgenabschätzung dem Schutz personenbezogener Daten natürlicher Personen und insbesondere ihren Rechten und Freiheiten. Bei der Verarbeitung besonderer Kategorien von personenbezogenen Daten müssen sich alle Mitgliedsstaaten der EU an die europarechtlichen Vorgaben halten.

Auf den Punkt: Als unternehmensinterne Risikoanalyse soll eine Folgenabschätzung dafür Sorge tragen, dass Verarbeitungen mit hohem Risiko für die betroffenen Personen erkannt, überwacht, verbessert und risikominimiert werden.

Was passiert bei fehlender oder fehlerhaft durchgeführter Folgenabschätzung?

Eine Unterlassung oder fehlerhafte Handhabung der Folgenabschätzung stellt einen Gesetzesverstoss dar und kann zu hohen Bussgeldern führen. Für Unternehmen ist es daher besonders wichtig, gute Folgeabschätzungen in ihre Abläufe zu integrieren. 

Zunächst muss geprüft werden, ob eine Pflicht zur Durchführung einer Folgenabschätzung überhaupt besteht. Hier nennt die DSGVO eine Vielzahl von Beispielfällen, allerdings ist die gesetzliche Aufzählung nicht abschliessend. Sie sind dazu verpflichtet, bei der Bewertung individueller Situationen eigene Massstäbe heranzuziehen. Mehr dazu erfahren Sie weiter unten.

Im Zweifel kann eine zuständige Aufsichtsbehörde Bussgelder verhängen, wenn trotz Verpflichtung keine bzw. mangelhafte Folgenabschätzungen vorgenommen wurden. Fehlende oder unzureichende Folgeabschätzungen können mit einem Bussgeld von bis zu 10 Mio. Euro oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

Darüber hinaus können Schadensersatzpflichten gegenüber betroffenen Personen eintreten, wenn deren Daten nicht ausreichend geschützt wurden. In dieser Hinsicht können Unternehmen die Vorteile einer soliden Datenschutz-Folgenabschätzung für sich nutzen, denn neben Risiken für Betroffene kann eine Risikoanalyse auch andere Fehler, Pannen und Ineffizienzen einzelner Prozesse sichtbar machen.

Auf den Punkt: Nicht nur, um Bussgelder zu vermeiden, sollte das Thema Datenschutz-Folgeabschätzung als Unternehmen ernst genommen werden. Diese Art der Prävention hilft auch, die eigenen Abläufe und Compliance-Massnahmen zu überprüfen und zu verbessern.

Wer muss eine Datenschutz-Folgeabschätzung durchführen?

Nicht alle Unternehmen müssen Datenschutz-Folgeabschätzungen durchführen. Die DSGVO nennt einzelne konkrete Beispielfälle, in denen Vorabkontrollen durchzuführen sind. Die wichtigsten öffentlichen und nichtöffentlichen Einrichtungen, die Datenschutz-Folgeabschätzungen durchführen müssen, sind folgende:

  • Unternehmen und Behörden, die mit Scoring-Verfahren arbeiten oder ähnliche Verfahren zum Zwecke von Profiling vornehmen,
  • Jene, die personenbezogene Daten besonderer Kategorien in erheblichem Umfang verarbeiten und speichern (etwa Gesundheitsdaten oder Daten mit Bezug zu Straftaten oder strafrechtliche Verurteilungen),
  • Unternehmen und Behörden, die systematisch und umfangreich öffentlich zugängliche Räume überwachen (insbesondere bei Videoüberwachung).

Die genannten Unternehmen sind angehalten, vor jeder Änderung eines Prozesses zu evaluieren, ob eine Datenschutz-Folgeabschätzung vorgenommen werden muss oder nicht. Im Idealfall werden hierfür nicht die Datenschutzbeauftragten, sondern eigens geschulte Mitarbeiter herangezogen. In einem zweiten Schritt können interne oder externe Datenschutzbeauftragte die durchgeführten Folgeabschätzungen zusätzlich kontrollieren.

Wann muss eine Folgenabschätzung durchgeführt werden?

Eine Verpflichtung zur Durchführung einer Folgenabschätzung besteht immer dann, wenn für die betroffenen Personen ein hohes Risiko besteht (Art. 35 DS-GVO). Mit Risiko ist dabei jedes Risiko wirtschaftlicher oder gesellschaftlicher Art gemeint. Es geht also darum, dass die Daten der betroffenen Personen gefährdet sind.

Wann ein solches hohes Risiko vorliegt, ist in vielen Fällen Auslegungssache. Zwar nennt die DSGVO Beispiele, wann von einem hohen Risiko auszugehen ist, dennoch sind damit nicht alle Verfahren und Vorgänge umfasst. Es obliegt daher den Unternehmen, zunächst einmal selbstständig zu bewerten, ob ein Risiko besteht und damit auch die Pflicht zur Folgenabschätzung einschlägig ist.

Achtung: Die eigenverantwortliche Beurteilung ist gerichtlich voll überprüfbar und auch die zuständigen Aufsichtsbehörden haben Zugriff auf diese Bewertungen. Unternehmen sollten daher bei ihren Risiko-Prognosen gewissenhaft vorgehen oder einen Rechtsexperten für Datenschutz konsultieren. Gerne unterstützen wir Sie dabei.

Datenschutz: Wann liegt ein hohes Risiko vor?

Zu den risikoreichen Prozessen gehören unter anderem die Bewertung persönlicher Aspekte natürlicher Personen, wie etwa beim Profiling, insbesondere dann, wenn diese automatisiert verarbeitet werden. Auch die umfangreiche Verarbeitung sensibler personenbezogener Daten aus bestimmten Kategorien (beispielsweise Gesundheitsdaten) unterliegen einem hohen Risiko. Ebenso umfasst sind systematische und umfangreiche Überwachungen öffentlich zugänglicher Bereiche.

Neben diesen Beispielen aus der DSGVO gibt es weitere Orientierungsmöglichkeiten für Unternehmen, bei welchen Vorgängen eine Folgeabschätzung vorzunehmen ist. Hierzu erstellen die zuständigen Aufsichtsbehörden regelmässig eine Liste mit Verarbeitungstätigkeiten, die eine Datenschutz-Folgenabschätzung erforderlich machen. Darauf finden sich beispielsweise:

  • Verarbeitungen von Daten, die dem Sozial-, Berufs oder Amtsgeheimnis unterliegen
  • Verarbeitungen von biometrischen oder genetischen Daten
  • Automatisierte Verarbeitung von Daten unter Einsatz von künstlicher Intelligenz oder Algorithmen
  • Verarbeitungen von Daten mit Profilbildung, Scoring, der Bewertung der Persönlichkeit oder der Verhaltensanalyse von Mitarbeitern
  • Bei der Zusammenführung grosser Datenmengen

Gut zu wissen: Einige deutsche Aufsichtsbehörden veröffentlichen auch Listen, die Verarbeitungsprozesse beinhalten, bei denen ausdrücklich keine Folgenabschätzung notwendig ist. Informieren Sie sich bei Bedarf gerne bei der Aufsichtsbehörde, die für Sie zuständig ist.

Bei Unsicherheiten bezüglich der Notwendigkeit einer Folgenabschätzung sollten Sie Rücksprache mit einem Beauftragten für Datenschutz halten. Dieser kann aufgrund seiner tiefgreifenden Erfahrung gut abschätzen, inwiefern eine Folgenabschätzung in Ihrem Fall notwendig ist.

Achtung: Eine Auskunft durch einen Datenschutzbeauftragten befreit Unternehmen nicht von ihrer Haftung für datenschutzrechtliche Fehler.

Eine Folgenabschätzung führt nicht automatisch dazu, dass eine Verarbeitung gerechtfertigt erfolgt. Je nach Verarbeitung und der Art der Daten müssen ggf. weitere Massnahmen getroffen oder eine Einwilligung der betroffenen Person eingeholt werden. Dabei müssen Unternehmen die Risiken dokumentieren und möglichst gering halten. Vermeidbare Risiken, die etwa durch die Folgenabschätzung identifiziert werden, müssen auch in diesem Fall eliminiert und die unternehmensinternen Prozesse im Sinne der DSGVO optimiert werden.

Worauf ist bei der Durchführung einer Folgenabschätzung zu achten?

Eine Datenschutz-Folgeabschätzung setzt sich aus vier Teilen zusammen. Wenn Sie bei der Durchführung offene Fragen haben oder rechtliche bzw. technische Unterstützung benötigen, wenden Sie sich gern direkt an uns.

Folgende Schritte sollte Ihre Folgenabschätzung umfassen:

1. Beschreibung der Verarbeitungsprozesse und -zwecke

Beschreiben Sie den Prozess der Verarbeitung möglichst umfassend stellen Sie genau dar, wie der Prozess funktioniert und abläuft, welche Daten verarbeitet werden und welche natürlichen Personen oder Personengruppen betroffen sind. Wichtig ist dabei auch, die Rechtsgrundlage festzuhalten, nach der diese Verarbeitung voraussichtlich erfolgt bzw. erfolgen darf.

Dazu kommen Informationen über den Zweck der Verarbeitung: Was genau soll mit der Datenverarbeitung erreicht werden? Auch die Datenquellen und die Datenempfänger sowie weitere involvierte Unternehmen oder die Zusammenarbeit mit Dienstleistern oder anderen Verantwortlichen ist hier anzugeben.

2. Notwendigkeit und Verhältnismässigkeit

Stellen Sie sich die Frage, ob die Datenverarbeitung überhaupt notwendig ist, um den gewünschten Zweck zu erfüllen: Braucht es das Verfahren tatsächlich? Oder ist die Verarbeitung eher nicht förderlich für Ihre Zwecke? Überflüssige Datenverarbeitungen sollten stets unterlassen werden, um die Risiken so gering wie möglich zu halten.

In einem weiteren Schritt muss die Verhältnismässigkeit einmal gesondert und juristisch sauber dargelegt werden. Sie erfolgt dabei in mehreren Stufen:

  1.  Geeignetheit: Zunächst wird geprüft, ob das Verfahren in der vorgesehenen Form überhaupt geeignet ist, um den beabsichtigten Zweck zu erreichen. Verfahren, die in ihrer Form nicht geeignet sind, sind nicht gerechtfertigt und müssen ggf. überarbeitet werden.
  2.  Erforderlichkeit: Hier stellt sich die Frage, ob es zur Zweckerreichung auch mildere, gleich geeignete Mittel gibt, die betroffene Personen weniger belasten, weniger eingriffsintensiv oder auch risikoärmer sind. Hier können auch organisatorische Massnahmen wie Löschkonzepte oder Fristen genannt werden, die die Eingriffsintensität abschwächen. Auch hier sollte die Frage gestellt werden, ob ein Eingriff überhaupt erforderlich ist um den Zweck zu erreichen.
  3. Angemessenheit: Ist kein milderes, gleich geeignetes Mittel vorhanden, muss die Angemessenheit beurteilt werden. Hier muss abgewogen werden, ob die Verarbeitung im Verhältnis mit den Rechten und Freiheiten der betroffenen Personen stehen und die Rechte betroffener Personen nicht insgesamt so schwer wiegen, dass von der Verarbeitung abzusehen ist.
3. Die Risikoanalyse

Die Risikoanalyse ist das Kernstück der Folgenabschätzung. Hier werden die eigentlichen Risiken der konkreten Verarbeitung für die betroffenen Personen dargestellt und ermittelt. Es macht daher Sinn definierten Gewährleistungsziele abzuarbeiten, damit die Verarbeitungsprozesse auf ihr Risiko kontrolliert und analysiert werden können:

  • Vertraulichkeit der Daten: Wer hat Zugang zu den Daten?
  • Integrität Der Inhalt der Daten darf nicht verändert werden
  • Datenverfügbarkeit
  • Belastbarkeit: sind die technischen Systeme belastbar und sicher?
  • Transparenz: Sind die Datenverarbeitungen nachvollziehbar? Wer verarbeitet welche Daten und zu welchem Zweck? Wurden die Betroffenen ausreichend aufgeklärt?
  • Datenminimierung: Ist der Umfang der Datenverarbeitung erforderlich, um den Zweck zu erreichen?
  • Betroffenenrechte: Sind Betroffenenrechte ausreichend gewährleistet?
  • Nichtverkettung: Daten dürfen nicht mit anderen Daten verknüpft werden und nicht für andere Zwecke verwendet werden
4. Aufstellung von Abhilfemassnahmen

Beschreiben Sie als Letztes, wie Sie die Gewährleistungsziele erreichen (möchten). Bestimmen Sie ausserdem die Eintrittswahrscheinlichkeit der Schäden und deren Höhe. Wichtig ist, dass zunächst das Risiko für die Datenverarbeitung an sich bewertet wird, bevor die getroffenen oder geplanten Abhilfemassnahmen zum Schutz der Daten mit in die Bewertung einbezogen werden.

Sind die Massnahmen integriert und umgesetzt, erfolgt eine Neubewertung des verbleibenden Risikos. Auf diesem Weg sollten regelmässige Folgeabschätzungen und Risikoanalysen durchgeführt werden. Folglich überprüfen und verbessern Sie bestehende und neue Prozesse dauerhaft und regelmässig.

Auch angemessene Massnahmen für den Notfall, also wenn es zu einem Schadenseintritt kommt, sollten Sie im Voraus planen. Schulen Sie Ihre Mitarbeiter dahingehend, wie sie sich im Zweifel verhalten sollen, um auch bei einer Datenschutzpanne schnell und adäquat zu reagieren und den Schaden möglichst gering zu halten.

Fazit

Was zunächst einfach klingt, kann im Einzelfall eine Menge Arbeit bedeuten. Datenschutz-Folgeabschätzungen erfordern eine gewisse Zeit, viel Aufwand und ausreichend Ressourcen, damit sie gesetzeskonform umgesetzt werden. Auch ihre stetige Anwendung und Wiederholung darf nicht unterschätzt werden. Mit der Priverion Plattform haben Sie ein nützliches Tool zur Hand, welches diese Prozesse vereinfacht.

Gerade weil Folgeabschätzungen im Zweifel aufwändig sind, sollten Unternehmen sich frühzeitig damit beschäftigen. Die DSGVO verpflichtet Unternehmen dazu, verschiedene Massnahmen durchzuführen, um den Schutz personenbezogener Daten zu gewährleisten und unnötige Datenverarbeitungen zu verhindern. 

Verwandte Artikel
Click to access the login or register cheese Click to access the login or register cheese Click to access the login or register cheese