Unabhängig von der Branche und der Art der Datenverarbeitung – für viele Unternehmen ist die Datenschutzfolgeabschätzung Pflicht. Obwohl diese Abschätzung bereits seit 2018 verpflichtend ist, stellt sie viele Firmen nach wie vor eine große Herausforderung. Dabei dreht sich alles um die Erhebung und Verarbeitung von sogenannten sensiblen Daten, egal ob permanent oder situativ.
Was ist die Datenschutzfolgeabschätzung?
Bereits seit 2018 sind Unternehmen gemäß der Datenschutz-Grundverordnung (DSGVO) dazu verpflichtet, sich mit dem Thema Datenschutzfolgeabschätzung auseinanderzusetzen. Es handelt sich dabei um ein europäisches Recht mit direkter Gültigkeit. Eine Umwandlung in eine staatliche Rechtsordnung ist deshalb nicht notwendig.
Die Datenschutzfolgeabschätzung (DSFA) gilt als ein wichtiger Kontrollmechanismus der DSGVO. Sämtliche Mechanismen verfolgen das Ziel, personenbezogene Daten optimal zu schützen. Um die DSGVO Betroffenenrechte zu gewährleisten und Datenschutzverstöße zu minimieren, nimmt diese Kontrollinstanz die Verarbeitungsvorgänge genauer unter die Lupe.
Die DSFA ist für die DSGVO damit eine der wichtigsten Installationen, die im Artikel 35 DSGVO definiert wird. Ihr konkretes Ziel ist auch heute noch die optimierte und strukturierte Risikoanalyse.
Wer muss diese Abschätzung durchführen?
Die Datenschutzfolgeabschätzung zu erstellen, obliegt dem Datenschutzbeauftragten. Beschäftigt ein Unternehmen keinen solchen Experten, kann es einen externen Dienstleister zurate ziehen. Dieser kümmert sich gemeinsam mit einem Team um die Analyse und Dokumentation vorliegender Risiken.
Welchen Zweck hat die Datenschutzfolgeabschätzung?
Welche Anforderungen die DSGVO an den Datenschutz am Arbeitsplatz stellt, hängt von dem potenziellen Risiko und Schaden der Datenverarbeitung ab. Um den notwendigen Schutz zu gewährleisten, stehen ihr verschiedene Kontrollmechanismen wie die Datenschutzfolgeabschätzung zur Verfügung. Dieses Instrument ist darauf ausgelegt, mögliche Gefahren zu beschreiben, zu bewerten und langfristig zu reduzieren. Es handelt sich keineswegs um eine einmalige Einschätzung. Vielmehr muss die Folgeabschätzung beim Hinzukommen neuer Risiken regelmäßig erfolgen.
So gehen Experten bei der Datenschutzfolgeabschätzung vor
Die Mindestinhalte der Datenschutz Folgenabschätzung definiert die DSGVO. Dabei gehen die Experten folgendermaßen vor:
- Sie nehmen eine systematische Beschreibung sämtlicher Verarbeitungsvorgänge und Zwecke vor.
- Sie prüfen die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung unter Berücksichtigung der definierten Vorgänge und Zwecke.
- Im Anschluss bewerten sie das potenzielle Risiko.
- Dann planen sie Abhilfemaßnahmen zur Bewältigung dieser Risiken und prüfen anschließend, ob die Mechanismen ihren Zweck erfüllen.
Die einzelnen Prozessschritte der DSFA im Überblick
Um eine Datenschutzfolgeabschätzung zu erstellen, sind verschiedene Schritte notwendig.
- Zunächst braucht es ein Team für die Bewertung.
- Die Teammitglieder legen den Beurteilungsumfang fest, identifizieren Betroffene und Akteure und prüfen die Notwendigkeit, ihre Daten zu verarbeiten.
- Anschließend überprüfen die Zuständigen die Rechtsgrundlage für die Verarbeitung. Ist diese gegeben, wird eine entsprechende Dokumentation erstellt.
- Im nächsten Schritt geht es darum, Risikoquellen zu identifizieren und mögliche physische, materielle und immaterielle Schäden einzuschätzen. Diese werden unter der Eintrittswahrscheinlichkeit betrachtet.
- Dann folgt die Auswahl geeigneter Maßnahmen, die für Abhilfe sorgen. Danach können sämtliche verbleibende Restrisiken eruiert und dokumentiert werden.
- Der Analyse-Bericht wird erstellt, wobei die Maßnahmen umgesetzt und auf ihre Wirksamkeit getestet werden.
Datenschutzfolgeabschätzung: Risikobewertung und Mittel zur Risikobestimmung
Die Bewertung von Risiken bei der Verarbeitung von personenbezogenen Daten ist stets in einem größeren Kontext zu betrachten. Betrachtet wird der Schaden, der einer Person entsteht, sollten diese Daten in die falschen Hände geraten. Deshalb ist eine allgemeine Kategorisierung vieler Datenbestände nicht einwandfrei möglich. Um die vorliegenden Risiken bewerten zu können, gilt es deshalb, die organisatorischen sowie technischen Maßnahmen konkret auf das eigene Tätigkeitsfeld anzupassen.
Die Risikobewertung
Ergibt die vorherige Risikobewertung, dass die Datenverarbeitung ein hohes Risiko für die Betroffenen mit sich bringt, ist eine Datenschutzfolgeabschätzung erforderlich. Hierbei handelt es sich nicht um das Schadensrisiko für das Unternehmen, sondern für die Betroffenen.
Die Grundlage für diese Einschätzung sind objektive Kriterien: die Art, der Umfang sowie die Umstände und der Zweck der Datenverarbeitung. Je höher der Schaden ausfällt, sollten diese Daten in die Hände von Hackern geraten, desto notwendiger ist die Datenschutzfolgeabschätzung.
Ein Beispiel für ein geringes Risiko wären beispielsweise die Anschrift oder die Kontaktdaten. Bei ihnen liegt ein niedriger Schutzbedarf vor. Kontostände und Prüfergebnisse hingegen unterliegen dem mittleren Schutzbedarf. Ein hoher Bedarf des Schutzes besteht wiederum bei Steuerdaten, gesundheitlichen Informationen sowie Daten zur beruflichen Laufbahn.
Verfahren für die Risikobestimmung
Für die Datenschutzfolgenabschätzung gibt es kein einheitliches, gesetzlich vorgeschriebenes Verfahren. Aus diesem Grund ist es sinnvoll, auf gängige Modelle wie das Standard-Datenschutzmodell zu vertrauen. Die Datenschutzberatung kann in diesem Bereich wertvolle Hilfestellungen anbieten und empfehlen, welches Vorgehensmodell am besten geeignet ist.
Unabhängig vom gewählten Verfahren ist es dennoch wichtig, die zentralen Kriterien der Datenschutz Folgenabschätzung der DSGVO zu erfüllen. Dazu gehören sämtliche technisch-organisatorische Maßnahmen, die zur Verfügbarkeit, Vertraulichkeit, Belastbarkeit und Integrität der Daten beitragen.
Bild: AdobeStock_439540422, VideoFlow