ituso GmbH
Fraunhoferstraße 9
85221 Dachau
Tel: +49 8142 42050 20
E-Mail: info@ituso.de
Eine saubere Risiko-Beurteilung der Prozesse eines Unternehmens ist das A und O im Datenschutz. Eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO ist jedoch nicht die Regel sondern sicherlich die Ausnahme der Dokumentationstätigkeiten im Datenschutz. Sie ist sozusagen die Maßnahme für die etwas „schwierigeren Fälle“, bei denen man ohne weitere Informationen und vor allem Einschätzungen von mehreren Beteiligten die enthaltenen Risiken für die Betroffenen nicht wirklich beurteilen kann.
Florian Padberg im Experteninterview zum Thema Datenschutzfolgeabschätzung
Nicht immer kann ein Unternehmen sich aussuchen, ob es eine Datenschutzfolgeabschätzung durchführen möchte oder nicht. Es gibt gewisse Vorgaben sowohl seitens der DSGVO als auch der Aufsichtsbehörden, bei welchen Verarbeitungstätigkeiten man eine Datenschutzfolgeabschätzung machen MUSS.
Dies ist der Fall, wenn das Unternehmen beispielsweise umfangreich Gesundheitsdaten sammelt und weiterverarbeitet (Stichwort Fitness-Tracker mit Cloudanbindung).
Im Ergebnis kann eine Datenschutzfolgeabschätzung sogar dazu führen, dass man die Aufsichtsbehörde um Erlaubnis fragen muss, seinen Prozess überhaupt durch- bzw. weiterführen zu dürfen. Die Behörde kann einem das in ganz schweren Fällen dann sogar untersagen!
Im Kern geht es darum, die potenziellen und tatsächlichen Risiken einer grundsätzlich als risikoreich eingestuften Aktivität transparent im Detail zu analysieren und zu bewerten, und daraus abzuleiten, was sich für mögliche Folgen für den Betroffenen ergeben. Nur wenn ich die Folgen und ihre weiteren Auswirkungen genau kenne, kann ich entscheiden, welche Gegenmaßnahmen ich ggf. noch ergreifen muss.
Mit der Datenschutzfolgeabschätzung belege ich also, dass ich das Thema ausführlich betrachtet und ein möglichst realistisches Bild erzeugt habe.
Ausschlaggebend dafür, ob Sie eine Datenschutzfolgeabschätzung durchführen müssen, ist die initiale Risikoanalyse, die Sie für die von Ihnen verarbeiteten Datenkategorien und in der Folge für Ihre Verarbeitungstätigkeiten durchführen müssen.
Als Faustregel gilt: Überschreitet das Risiko für den Betroffenen eine gewisse Grenze, sollten Sie eine Datenschutzfolgeabschätzung durchführen. Wenn Sie beispielsweise bei Ihrer Risikoanalyse eine Skala von 1-10 verwenden, wobei 1 ein vernachlässigbares Risiko darstellt und die 10 quasi eine Gefahr für Leib und Leben, empfehlen wir ab einem Risiko-Wert von 7 eine Datenschutzfolgeabschätzung durchzuführen.
Neben dieser pragmatischen Richtschnur geben die Aufsichtsbehörden und auch die DSGVO selbst aber auch einzelne Themen hart vor: Wenn Sie regelmäßig besonders schützenswerte personenbezogene Daten wie etwa Gesundheitsdaten oder Daten zur sexuellen Orientierung von Betroffenen verarbeiten, müssen Sie eine Datenschutzfolgeabschätzung vornehmen, ebenso wenn Sie eine Verarbeitung durchführen, die auf der Blacklist der Aufsichtsbehörden steht.
Als die DSGVO entwickelt wurde, war man sich durchaus bewusst, dass es für viele Unternehmen schwer wird, selbst einzuschätzen, welche Tätigkeiten denn nun stark risikobehaftet sind und welche eher unkritisch sind. Daher wurden die Datenschutz-Aufsichtsbehörden vom Gesetzgeber mit in die Pflicht genommen. Sie sollen Hilfestellungen u.a. in Form von Übersichten zu „guten“ und „schlechten“ Verarbeitungstätigkeiten bereitstellen, also „Blacklists“ mit Verarbeitungen mit einem sehr hohen grundsätzlichen Risiko für die Rechte und Freiheiten der Betroffenen, sowie „Whitelists“ mit generell risikoarmen Prozessen.
Ist eine Verarbeitung, die Ihr Unternehmen durchführt, auf einer Blacklist der Behörden – etwa eine umfassende Videoüberwachung oder der Einsatz Künstlicher Intelligenz bei der Identifikation von Einzelpersonen – dann müssen Sie dafür in jedem Fall eine Datenschutzfolgeabschätzung machen. Geht es um einen Prozess von der Whitelist, können Sie sich die Datenschutzfolgeabschätzung ohne weiteren Aufwand sparen.
Sie werden es sich denken können: Eine Blacklist haben die Aufsichtsbehörden recht zügig veröffentlicht, auf eine Whitelist warten wir alle noch immer vergebens…
Da ist es mit der DSGVO wie mit vielen anderen Gesetzen und Verordnungen: Ganz genaue Vorgehensvorgaben macht sie nicht, aber man kann schon nach einem gewissen Musterprozess arbeiten.
Teamzusammenstellung
Zunächst einmal ist es offiziell Aufgabe des Verantwortlichen – also nicht des Datenschutzbeauftragten! – ein Team für die Datenschutzfolgeabschätzung aufzustellen und die Beurteilung an dieses Team zu delegieren. In der Praxis läuft es natürlich meistens so, dass der Datenschutzbeauftragte einen Hinweis gibt, dass eine Datenschutzfolgeabschätzung für die Verarbeitung XY nötig ist und den Verantwortlichen bittet, loslegen zu können. Das Team sollte sich aus Vertretern der Bereiche zusammensetzen, die bei der Verarbeitung involviert sind. Meistens gehört jemand aus der IT dazu, aus dem Finanzbereich, und oft auch aus dem Personalbereich und dem Marketing. Der Datenschutzbeauftragte hat übrigens die Aufgabe, die Interessen des Betroffenen zu berücksichtigen und zu artikulieren.
Detailanalyse & Risikoeinschätzung
Im Anschluss an die Teamzusammenstellung müssen ein zeitlich ausreichend dimensionierter Termin – oder gleich eine Terminserie – organisiert und die Teammitglieder mit den Basisinformationen zur zu beurteilenden Verarbeitung ausgestattet werden. Dann geht es ans Eingemachte und die Verarbeitung wird im Detail analysiert. Es werden mögliche Risiken diskutiert und möglichst effektive Maßnahmen zur Reduzierung des jeweiligen Risikos erörtert.
Maßnahmenpaket
Am Ende erhält man eine überarbeitete Risikoeinschätzung und ein Maßnahmenpaket, dessen Umsetzung dann einzusteuern ist.
Da jede Datenschutzfolgeabschätzung durchaus unterschiedlich gelagert sein kann, ist es nicht ganz einfach, ein schön standardisiertes „Muster“ im Sinne einer Checkliste anzubieten, die möglichen Varianten und Verästelungen sind einfach viel zu groß. Es geht eher darum sauber durch den Prozess geführt zu werden.
Ein gutes Tool hat übrigens die französische Datenschutzaufsicht CNIL entwickelt – es heißt PIA (das kommt von „Privacy Impact Assessment“) und kann die Planung und Durchführung unterstützen.
Diese Frage muss man mit der „Lieblingsantwort“ der Anwälte und Berater beantworten: Es kommt darauf an. Es spielen eine Menge Faktoren eine Rolle, vom Ausgangsrisiko der Verarbeitung über die Kritikalität des Prozesses für das Unternehmen sowie die Anzahl der beteiligten Abteilungen bis hin zur Flexibilität der eingesetzten Tools und nicht zuletzt die „Lösungskultur“ des Unternehmens.
Theoretisch gibt es ein Worst-Case-Szenario. Das Ergebnis einer Datenschutzfolgeabschätzung ist ein Bericht mit einer aktualisierten Risikoeinschätzung und einem klar definierten Maßnahmenpaket zur Risikoreduktion. Sollte es nun so sein, dass trotz der detaillierten Betrachtung und der geplanten Abhilfemaßnahmen KEINE nennenswerte Reduktion des Risikos zu erwarten ist und es weiterhin sehr hoch bleiben wird, dann müssen Sie die Aufsichtsbehörde einschalten und ihr den Bericht vorlegen und die Genehmigung der Verarbeitung beantragen.
Dabei sollten Sie sich natürlich argumentativ stark ins Zeug legen und klar machen, warum es trotz des Risikos für das Unternehmen unerlässlich ist, diesen Prozess zu verwenden. Die Behörden sind in diesem Falle angehalten, den Fall genau zu prüfen und dem Unternehmen auch durchaus eine Chance zu geben. Als Ergebnis kann dann eine solche Freigabe stehen und Sie können loslegen.
Im Worst Case kann es aber tatsächlich sein, dass die Behörde die (weitere) Durchführung dieses Prozesses untersagt. Hierfür müssen Sie im Sinne eines sauberen Risk Managements einen Plan B haben, denn ein Weitermachen trotz Untersagung ist keine Option, hier drohen massive Bußgelder wenn das entdeckt wird.
1. Initiale Risikoanalyse: Machen Sie eine saubere initiale Risikoanalyse zu Ihren verarbeiteten Datenkategorien und Prozessen, dann identifizieren Sie schnell die „Kandidaten“ für eine Datenschutzfolgeabschätzung – so viele wie befürchtet werden es im Normalfall nicht sein.
2. Vorbereitung: Bereiten Sie sich frühzeitig darauf vor, eine Datenschutzfolgeabschätzung auch effektiv durchführen zu können. Bestimmen Sie schon vorab mögliche Teammitglieder, und machen Sie sich schon jetzt Gedanken, welche Art von Vorabinformationen das Team erhalten soll und wie Sie den Prozess steuern wollen.
3. Durchführung: Haben Sie keine Angst vor der Datenschutzfolgeabschätzung, schieben Sie sie nicht auf die lange Bank. Sie setzen schließlich clevere Leute an das Thema, Ihre Mitarbeiter werden eine gute Lösung finden.
Florian Padberg ist einer der Geschäftsführer der ituso GmbH, Datenschutzbeauftragter und Datenschutzauditor. Er berät und unterstützt zahlreiche Unternehmen unterschiedlicher Branchen bei der korrekten Umsetzung der DSGVO-Vorgaben. Er referiert regelmäßig auf Veranstaltungen und veröffentlicht Fachartikel zum Thema Datenschutz.
Fraunhoferstraße 9
85221 Dachau
Tel: +49 8142 42050 20
E-Mail: info@ituso.de