Datenschutz-Folgenabschätzung – Tipps zur Umsetzung 

Immer dann, wenn eine Form der Datenverarbeitung ein hohes Risiko für den Betroffenen zur Folge hat, müssen Sie eine sog. Datenschutz-Folgenabschätzung vornehmen und ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Was eine Datenschutz-Folgenabschätzung ist und welche Praxistipps Sie bei der Durchführung einer DSFA berücksichtigen sollten, beschreiben wir in diesem Beitrag.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Es handelt sich hierbei um einen systematischen Prozess zur Analyse und Bewertung Risiken, die sich aus der Verarbeitung personenbezogener Daten ergeben. Die Datenschutz-Folgenschabschätzung ist ein zentrales Instrument der Datenschutz-Grundverordnung (DSGVO), um sicherzustellen, dass die Rechte und Freiheiten betroffener Personen bezogen auf einen geplanten Verarbeitungsvorgang gewahrt werden. 

Eine DSFA umfasst mehrere Schritte: Zunächst wird die geplante Verarbeitung besonderer Daten beschrieben, einschließlich der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung. Anschließend werden die Risiken bewertet, die diese automatisierte Verarbeitung für die Betroffenen mit sich bringen könnte. Schließlich werden Maßnahmen zur Bewältigung dieser Risiken vorgeschlagen. Ziel der DSFA ist es, potenzielle Gefahren frühzeitig zu erkennen und geeignete Maßnahmen zu deren Minderung zu treffen. Dies kann technische Maßnahmen wie Verschlüsselung oder organisatorische Maßnahmen wie Schulungen für Mitarbeiter umfassen. 

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschließlich Profiling;
• umfangreiche Verarbeitung sensibler Daten mit hohem Risiko;
• systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Der europäische Gesetzgeber sieht insbesondere den Einsatz neuer Technologien oder die Verarbeitung umfangreicher Datenmengen als Auslöser einer DS-FA. Ein typisches Beispiel ist die Einführung eines neuen IT-Systems, das umfangreiche personenbezogene Daten verarbeitet oder die Implementierung von Big Data-Analysen, die umfangreiche Datenmengen zusammenführen und auswerten. Ob eine Datenschutz-Folgenabschätzung erforderlich ist, muss anhand des konkreten Verarbeitungsvorgangs beurteilt werden.

Hier hat der europäische Gesetzgeber aber mit der Regelung in Art. 35 Abs. 4 DSGVO den zuständigen Datenschutzbehörden eine Pflicht auferlegt, weitere Konkretisierungen vorzunehmen. Gemäß Art. 35 Abs. 4 S.1 DSGVO muss die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen, die gemäß Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung erforderlich ist.

Beispiele für die Erforderlichkeit einer Datenschutz-Folgenabschätzung

Unabhängig von dem jeweiligen Ergebnis der Risikobewertung sind Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Aufsichtsbehörden eine Form der Verarbeitung in eine Positivliste aufgenommen haben (Art. 35 Abs. 4 DSGVO). In Deutschland besteht die Besonderheit, dass 17 verschiedene Aufsichtsbehörden existieren:

• Baden-Württemberg
• Bayern
• Brandeburg
• Bremen 
• Hamburg (öffentlicher Bereich; nicht-öffentlicher Bereich)
• Hessen
• Mecklenburg-Vorpommern (öffentlicher Bereich)
• Niedersaschen
• Nordrhein-Westfalen (öffentlicher Bereich; nicht-öffentlicher Bereich)
• Rheinland-Pfalz (öffentlicher Bereich; nicht-öffentlicher Bereich)
• Saarland
• Sachsen
• Sachsen-Anhalt
• Schleswig-Holstein
• Thüringen
• BfDI-Bundesbeauftragte für Datenschutz und die Informationsfreiheit (öffentliche Stellen des Bundes; nicht öffentlicher Bereich)
• Datenschutzkonferenz (DSK) Zusammenschluss der Aufsichtsbehörden 

Die sogenannten Positivlisten – auch als Whitelists bezeichnet – enthalte diejenigen Verarbeitungsvorgänge, die nach Auffassung der Aufsichtsbehörde voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten von der betroffenen Person verbunden ist und für die eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist. 

Kriterien, die auf die Erforderlichkeit einer DS-FA hinweisen

Nachstehend sind einige Kriterien bzw. Formulierungsvarianten, die bei der Mehrzahl der Positivlisten enthalten sind zusammengefasst. Diese Positivlisten umfassen insbesondere folgende Verarbeitungen bzw. Daten:

• Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen.
• Umfangreiche Verarbeitung von Daten, z.B GPS Bewegungsdaten über den Aufenthalt von Personen.
• Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern
  • die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, 
  • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden, 
  • die Anwendung von Algorithmen einschließen, die für die Betroffenen nicht nachvollziehbar sind, und 
  • der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können.
• Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche.
• Erfassung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen, z.B. Profiling.
• Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in anderer Weise erheblich beeinträchtigen.
• Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen.
• Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen.
• Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der Betroffenen oder von Funksignalen zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substanziellen Zeitraum.
• Automatisierte Auswertung von Video- oder Audioaufnahmen zur Bewertung der Persönlichkeit der Betroffenen.
• Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die Betroffenen nicht erkennen können.
• Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen.

Zeitpunkt der Durchführung einer Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung personenbezogener Daten durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Dies ermöglicht es Unternehmen, potenzielle Risiken frühzeitig zu identifizieren und geeignete Schutzmaßnahmen zu implementieren, bevor die Verarbeitung startet. Die frühzeitige Durchführung einer DSFA ist besonders wichtig, um kostenintensive Nachbesserungen zu vermeiden und rechtliche Risiken zu minimieren. Bereits in der Planungsphase eines Projekts sollten die Datenschutzaspekte berücksichtigt werden. Dabei ist es hilfreich, den Datenschutzbeauftragten frühzeitig einzubeziehen. Durch eine DSFA können Datenschutzprobleme proaktiv angegangen und Lösungsmöglichkeiten bereits im Vorfeld entwickelt werden. Dies schafft nicht nur Rechtssicherheit, sondern fördert auch die Einhaltung der Privacy by Design und Privacy Default – Grundsätze. 

Wer muss die Datenschutz-Folgenabschätzung vornehmen?

Die Verantwortung für die Durchführung einer DSFA liegt bei dem für die Datenverarbeitung Verantwortlichen, also dem Unternehmen, das die Daten verarbeitet. Der bestellte Datenschutzbeauftragte steht dem Unternehmen lediglich mit Rat zur Seite und überwacht ihre Durchführung (Art. 35 Absatz 2; Art. 39 Absatz 1 lit. c DSGVO). Der Datenschutzbeauftragte hat laut Gesetz nicht die Aufgabe, die Datenschutz-Folgenabschätzung anzustoßen, durchzuführen oder ein Ergebnis zu beurteilen. In kleinen Unternehmen ist die Durchführung einer Datenschutz-Folgenabschätzung ohne operative Unterstützung des Datenschutzbeauftragten nicht realisierbar. Dies liegt vor allem daran, dass der DSB oftmals als einzige Person über umfassende Kenntnisse der relevanten Datenschutzvorschriften und der spezifischen Datenverarbeitungsprozesse verfügt. Unabhängig davon, ob der Datenschutzbeauftragte nur berät oder aktiv unterstützt, erfordert eine gründliche DS-FA eine enge Zusammenarbeit mit allen relevanten Abteilungen des Unternehmens, um rechtliche und technische Fragestellungen zu klären.

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen? 

Die DSGVO bestimmt in Art. 35 Abs. 7 Mindestanforderungen bezüglich des Inhalts einer Datenschutz-Folgenabschätzung. Diese muss demnach enthalten:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von den für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
• Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
• Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt wird.

Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).

Vorgehensweise bei einer Datenschutz-Folgenabschätzung

Schritt 1: Beschreibung der geplanten Verarbeitungsvorgänge

Bei einer Datenschutz-Folgenabschätzung sollte das Verfahren genauer beschrieben werden. Für jede Phase der Verarbeitung sollten die folgenden Aspekte erhoben und dokumentiert werden

• Quelle der Daten  – Wo werden die Daten erhoben?
• Zweck der Datenverarbeitung – Warum müssen die Daten verarbeitet werden? 
• Art und Umfang der personenbezogenen Daten? Wessen und welche Daten werden verarbeitet? 
• Empfänger  – Wer erhält die Daten?
• Speicherfristen – Wie lange werden die Daten benötigt? 
• Eingesetzte Hardware, Software
• Rechtsgrundlage – Gibt es eine gesetzliche Grundlage, die uns die Verarbeitung auferlegt?

Schritt 2: Identifizierung der Risiken für die betroffene Person

Die DS-GVO verfolgt eine Anzahl an Datenschutzgrundsätzen, von denen die überwiegende Zahl in

Art. 5 DS-GVO genannt wird:

• Grundsatz der Rechtmäßigkeit
• Transparenzgebot
• Prinzip der Zweckbindung
• Grundsatz der Speicherbegrenzung oder Datenminimierung
• Grundsätze der Integrität und Vertraulichkeit
• Grundsatz der Verfügbarkeit (Belastbarkeit)
• Grundsatz der Datenrichtigkeit 

Es ist zu prüfen, ob im Rahmen des beschriebenen Verarbeitungsvorgangs die Datenschutzgrundsätze eingehalten bzw. verletzt werden und welche Risiken sich daraus identifizieren lassen. Folgende beispielhafte Erwägungen helfen bei der Feststellung von Schwächen im Verarbeitungsvorgang:

• Wie stellen wir sicher, dass Daten nur für die festgelegten Zwecke verarbeitet werden?
• Wie stellen wir sicher, dass nur Daten, die für den Verarbeitungsvorgang notwendig sind, erhoben  und gespeichert werden?
• Wie stellen wir sicher, dass die Daten zeitgerecht gelöscht werden? 
• Wie werden die betroffenen Personen über die Datenverarbeitung informiert?
• Wie können die betroffenen Personen ihr Recht auf Auskunft und das Recht auf Löschung ausüben?
• Welche Sicherheitsmaßnahmen wurden bereits getroffen?

Auf Grundlage der Antworten lassen sich denkbare Datenschutzprobleme und potenzielle Risiken,  spezifische Angriffsszenarien und Bedrohungen in Bezug auf unzulässigen Zugriff auf Daten, unerwünschte Änderung von Daten, besondere Risiken von Daten, Verschwinden von Daten feststellen. Beispiele sind: 

• finanzieller Verlust
• Rufschädigung
• wirtschaftliche oder gesellschaftliche Nachteile
• Erschwerung der Rechtsausübung und Verhinderung der Kontrolle durch betroffene Personen
•  Ausschluss oder Einschränkung der Ausübung von Rechten und Freiheiten
• Profilerstellung oder -nutzung durch Bewertung persönlicher Aspekte körperliche Schäden infolge von Handlungen auf der Grundlage fehlerhafter oder offengelegter Daten

Schritt 3: Analyse & Bewertung der Risiken für die Betroffenen 

Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen darstellen oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. Eine Darstellung des Risikos als Produkt aus Eintrittswahrscheinlichkeit und Auswirkung ist in einer Risikomatrix möglich:

Schritt 4: Abhilfemaßnahmen zur Eindämmung der Risiken planen:

In diesem Schritt muss das Unternehmen oder der Fachbereich beschreiben, welche Maßnahmen zur IT-Sicherheit ergriffen werden, um eine Verletzung der Datenschutz-Grundsätze zu vermeiden. Beschließt die Organisation zur Behandlung von Datenschutzrisiken Maßnahmen zu ergreifen, so bietet es sich aus Gründen der Rechenschaftspflicht an, die Maßnahmen zur Minimierung der Datenschutzrisiken tabellarisch in eine Maßnahmenliste aufzunehmen und jeder Maßnahme einen Verantwortlichen zur Umsetzung und ein Zieldatum zuzuweisen. Im Risikomanagement wird eine solche Liste auch Risikobehandlungsplan genannt.

Weitere Schritte nach Durchführung der DSFA

Nach der Durchführung einer DSFA sind die festgestellten Risiken und die geplanten Maßnahmen zur Risikominderung zu dokumentieren und umzusetzen. Diese Dokumentation ist ein wichtiger Nachweis für die Einhaltung der DSGVO und kann im Falle einer Überprüfung durch die Aufsichtsbehörden vorgelegt werden. Darüber hinaus ist die DSFA regelmäßig zu überprüfen und bei wesentlichen Änderungen der Datenverarbeitung zu aktualisieren.

DSFA Aufsichtsbehörde informieren

Falls trotz der Maßnahmen zur Eindämmung der Risiken potenzielle Gefahren für die Betroffenen bestehen bleiben, muss das Unternehmen die Aufsichtsbehörde informieren (Art. 36 Absatz 1 DSGVO). Diese kann zusätzliche Empfehlungen geben oder weitere Maßnahmen anordnen, um den Datenschutz zu gewährleisten. Eine kontinuierliche Überprüfung und Anpassung der DSFA hilft, neue Risiken frühzeitig zu erkennen und sicherzustellen, dass die getroffenen Maßnahmen stets auf dem aktuellen Stand der Technik und der rechtlichen Anforderungen sind.

Was passiert, wenn keine DSFA durchgeführt wird?

Die Nichtdurchführung einer erforderlichen DSFA kann erhebliche Konsequenzen für ein Unternehmen haben. Es drohen nicht nur hohe Bußgelder  von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes. Unternehmen, die keine DSFA durchführen, riskieren zudem, dass unerkannte Risiken zu Datenschutzverletzungen führen, die erhebliche rechtliche und finanzielle Folgen nach sich ziehen können.

Sie benötigen schnelle Unterstützung bei Ihrer Datenschutz-Folgenabschätzung?

Wir sind ein Team aus externen Datenschutzbeauftragten und bieten Ihnen sofortige Unterstützung bei Datenschutz-Folgenabschätzungen. Unsere Datenschutzbeauftragten sind ausgebildete Juristen und IT-Fachkräfte mit Schwerpunkt Datenschutz und IT-Sicherheit.

Unser Angebot zur Benennung zum externen Datenschutzbeauftragten kombiniert Datenschutz-Fachwissen mit rechtlichen, betriebswirtschaftlichen und technischen Kenntnissen. Alle unsere Datenschutzberater sind zertifiziert und besitzen eine umfassende Fachkunde auf dem Gebiet des Datenschutzrechts. Mit uns erfüllen Sie alle Vorgaben der Datenschutz-Grundverordnung. Wir helfen Ihnen beispielsweise bei der Erreichung einer datenschutzkonformen Internetpräsenz oder bei der Bewertung von Datenschutzverletzungen und bei der Analyse, Bewertung, Dokumentation des Verarbeitungsvorgangs  und stehen Ihnen bei allen weiteren Schritten zur Datenschutzkonformität mit Rat und Tat zur Seite.

FAQ Datenschutz-Folgenabschätzung DSGVO