Datenschutzfolgeabschätzung

Nicht immer kann ein Unternehmen sich aussuchen, ob es eine Datenschutzfolgeabschätzung durchführen möchte oder nicht. Es gibt gewisse Vorgaben sowohl seitens der DSGVO als auch der Aufsichtsbehörden, bei welchen Verarbeitungstätigkeiten man eine Datenschutzfolgeabschätzung machen MUSS.

Dies ist der Fall, wenn das Unternehmen beispielsweise umfangreich Gesundheitsdaten sammelt und weiterverarbeitet (Stichwort Fitness-Tracker mit Cloudanbindung).

Im Ergebnis kann eine Datenschutzfolgeabschätzung sogar dazu führen, dass man die Aufsichtsbehörde um Erlaubnis fragen muss, seinen Prozess überhaupt durch- bzw. weiterführen zu dürfen. Die Behörde kann einem das in ganz schweren Fällen dann sogar untersagen!

Im Kern geht es darum, die potenziellen und tatsächlichen Risiken einer grundsätzlich als risikoreich eingestuften Aktivität transparent im Detail zu analysieren und zu bewerten, und daraus abzuleiten, was sich für mögliche Folgen für den Betroffenen ergeben. Nur wenn ich die Folgen und ihre weiteren Auswirkungen genau kenne, kann ich entscheiden, welche Gegenmaßnahmen ich ggf. noch ergreifen muss.

Mit der Datenschutzfolgeabschätzung belege ich also, dass ich das Thema ausführlich betrachtet und ein möglichst realistisches Bild erzeugt habe.

Ausschlaggebend dafür, ob Sie eine Datenschutzfolgeabschätzung durchführen müssen, ist die initiale Risikoanalyse, die Sie für die von Ihnen verarbeiteten Datenkategorien und in der Folge für Ihre Verarbeitungstätigkeiten durchführen müssen.

Als Faustregel gilt: Überschreitet das Risiko für den Betroffenen eine gewisse Grenze, sollten Sie eine Datenschutzfolgeabschätzung durchführen. Wenn Sie beispielsweise bei Ihrer Risikoanalyse eine Skala von 1-10 verwenden, wobei 1 ein vernachlässigbares Risiko darstellt und die 10 quasi eine Gefahr für Leib und Leben, empfehlen wir ab einem Risiko-Wert von 7 eine Datenschutzfolgeabschätzung durchzuführen.

Neben dieser pragmatischen Richtschnur geben die Aufsichtsbehörden und auch die DSGVO selbst aber auch einzelne Themen hart vor: Wenn Sie regelmäßig besonders schützenswerte personenbezogene Daten wie etwa Gesundheitsdaten oder Daten zur sexuellen Orientierung von Betroffenen verarbeiten, müssen Sie eine Datenschutzfolgeabschätzung vornehmen, ebenso wenn Sie eine Verarbeitung durchführen, die auf der Blacklist der Aufsichtsbehörden steht.

Als die DSGVO entwickelt wurde, war man sich durchaus bewusst, dass es für viele Unternehmen schwer wird, selbst einzuschätzen, welche Tätigkeiten denn nun stark risikobehaftet sind und welche eher unkritisch sind. Daher wurden die Datenschutz-Aufsichtsbehörden vom Gesetzgeber mit in die Pflicht genommen. Sie sollen Hilfestellungen u.a. in Form von Übersichten zu „guten“ und „schlechten“ Verarbeitungstätigkeiten bereitstellen, also „Blacklists“ mit Verarbeitungen mit einem sehr hohen grundsätzlichen Risiko für die Rechte und Freiheiten der Betroffenen, sowie „Whitelists“ mit generell risikoarmen Prozessen.

Ist eine Verarbeitung, die Ihr Unternehmen durchführt, auf einer Blacklist der Behörden – etwa eine umfassende Videoüberwachung oder der Einsatz Künstlicher Intelligenz bei der Identifikation von Einzelpersonen – dann müssen Sie dafür in jedem Fall eine Datenschutzfolgeabschätzung machen. Geht es um einen Prozess von der Whitelist, können Sie sich die Datenschutzfolgeabschätzung ohne weiteren Aufwand sparen.

Sie werden es sich denken können: Eine Blacklist haben die Aufsichtsbehörden recht zügig veröffentlicht, auf eine Whitelist warten wir alle noch immer vergebens…

Da ist es mit der DSGVO wie mit vielen anderen Gesetzen und Verordnungen: Ganz genaue Vorgehensvorgaben macht sie nicht, aber man kann schon nach einem gewissen Musterprozess arbeiten.

Teamzusammenstellung

Zunächst einmal ist es offiziell Aufgabe des Verantwortlichen – also nicht des Datenschutzbeauftragten! – ein Team für die Datenschutzfolgeabschätzung aufzustellen und die Beurteilung an dieses Team zu delegieren. In der Praxis läuft es natürlich meistens so, dass der Datenschutzbeauftragte einen Hinweis gibt, dass eine Datenschutzfolgeabschätzung für die Verarbeitung XY nötig ist und den Verantwortlichen bittet, loslegen zu können. Das Team sollte sich aus Vertretern der Bereiche zusammensetzen, die bei der Verarbeitung involviert sind. Meistens gehört jemand aus der IT dazu, aus dem Finanzbereich, und oft auch aus dem Personalbereich und dem Marketing. Der Datenschutzbeauftragte hat übrigens die Aufgabe, die Interessen des Betroffenen zu berücksichtigen und zu artikulieren.

Detailanalyse & Risikoeinschätzung

Im Anschluss an die Teamzusammenstellung müssen ein zeitlich ausreichend dimensionierter Termin – oder gleich eine Terminserie – organisiert und die Teammitglieder mit den Basisinformationen zur zu beurteilenden Verarbeitung ausgestattet werden. Dann geht es ans Eingemachte und die Verarbeitung wird im Detail analysiert. Es werden mögliche Risiken diskutiert und möglichst effektive Maßnahmen zur Reduzierung des jeweiligen Risikos  erörtert.

Maßnahmenpaket

Am Ende erhält man eine überarbeitete Risikoeinschätzung und ein Maßnahmenpaket, dessen Umsetzung dann einzusteuern ist.

Da jede Datenschutzfolgeabschätzung durchaus unterschiedlich gelagert sein kann, ist es nicht ganz einfach, ein schön standardisiertes „Muster“ im Sinne einer Checkliste anzubieten, die möglichen Varianten und Verästelungen sind einfach viel zu groß. Es geht eher darum sauber durch den Prozess geführt zu werden.

Ein gutes Tool hat übrigens die französische Datenschutzaufsicht CNIL entwickelt – es heißt PIA (das kommt von „Privacy Impact Assessment“) und kann die Planung und Durchführung unterstützen.

Diese Frage muss man mit der „Lieblingsantwort“ der Anwälte und Berater beantworten: Es kommt darauf an. Es spielen eine Menge Faktoren eine Rolle, vom Ausgangsrisiko der Verarbeitung über die Kritikalität des Prozesses für das Unternehmen sowie die Anzahl der beteiligten Abteilungen bis hin zur Flexibilität der eingesetzten Tools und nicht zuletzt die „Lösungskultur“ des Unternehmens.

• Bei unternehmenskritischen Prozessen empfiehlt es sich, frühzeitig mit der Datenschutzfolgeabschätzung zu beginnen – im Idealfall noch in der Planungsphase des Prozesses selbst – und die hellsten Köpfe aus den beteiligten Bereichen an einen Tisch zu holen.
• Manchmal ist schon früh absehbar, dass der Einsatz einer bestimmten Funktionalität des betroffenen Tools schon den Großteil des Risikos abmildern kann.
• Bei manchen Unternehmen ist von Anfang an klar, dass es mehrere Abstimmungsrunden brauchen wird, da die Bereiche dazu tendieren ihre Positionen und Kompetenzen bis aufs Messer zu verteidigen. Auch hier kann eine Empfehlung nur grob gelten: Mehr als 6 Teilnehmer sollte das Team nicht haben, sonst kommen Sie nie auf einen grünen Zweig. Und mehr als drei Termine á 2 Stunden halte ich ebenfalls nur in Ausnahmefällen für wirklich nötig. Je klarer Sie das Team im Vorfeld briefen, desto effektiver wird der Prozess ablaufen.

Theoretisch gibt es ein Worst-Case-Szenario. Das Ergebnis einer Datenschutzfolgeabschätzung ist ein Bericht mit einer aktualisierten Risikoeinschätzung und einem klar definierten Maßnahmenpaket zur Risikoreduktion. Sollte es nun so sein, dass trotz der detaillierten Betrachtung und der geplanten Abhilfemaßnahmen KEINE nennenswerte Reduktion des Risikos zu erwarten ist und es weiterhin sehr hoch bleiben wird, dann müssen Sie die Aufsichtsbehörde einschalten und ihr den Bericht vorlegen und die Genehmigung der Verarbeitung beantragen.

Dabei sollten Sie sich natürlich argumentativ stark ins Zeug legen und klar machen, warum es trotz des Risikos für das Unternehmen unerlässlich ist, diesen Prozess zu verwenden. Die Behörden sind in diesem Falle angehalten, den Fall genau zu prüfen und dem Unternehmen auch durchaus eine Chance zu geben. Als Ergebnis kann dann eine solche Freigabe stehen und Sie können loslegen.

Im Worst Case kann es aber tatsächlich sein, dass die Behörde die (weitere) Durchführung dieses Prozesses untersagt. Hierfür müssen Sie im Sinne eines sauberen Risk Managements einen Plan B haben, denn ein Weitermachen trotz Untersagung ist keine Option, hier drohen massive Bußgelder wenn das entdeckt wird.