Die Datenschutz-Folgenabschätzung - zentraler Bestandteil der DSGVO

Ganz elementar für das Risikomanagement von Unternehmen, oder öffentlichen Stellen und zentraler Bestandteil der DSGVO, ist die sogenannte Datenschutz-Folgenabschätzung. In Zeiten der Digitalisierung dient diese gleichermaßen als eine Art Frühwarnsystem für Mängel im Datenschutz.

Die Rolle des Datenschutzbeauftragten bei der Datenschutz-Folgenabschätzung

In erster Linie sind der Geschäftsführer oder der Vorstand, laut DSGVO also der „Verantwortliche“ im Unternehmen, für die DSFA zuständig. Dieser trägt die juristische Verantwortung für den korrekten Datenschutz. Doch die vermeintlich harmlose DSGVO-Formulierung ‚Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.‘ führt dazu, dass auch Datenschutzbeauftragte wesentlich stärker in die Einführung oder Änderung von Datenverarbeitungs-Verfahren einbezogen werden müssen.

Rechte an Daten schützen: Ein Beispiel aus der Praxis

Grundsätzlich will die EU mit der neuen DSGVO die Rechte von Personen an ihren privaten Daten stärken. Dabei muss der oder die Datenschutzbeauftragte abschätzen, wie hoch das Risiko ist, dass die Daten in irgendeiner unrechtmäßigen Weise genutzt werden könnten. Da beinahe jedes Unternehmen und jede Behörde Daten erhebt, muss fast jeder eine Risikoabschätzung nach Artikel 35 der DSGVO vornehmen. Das sieht der Gesetzgeber sehr streng.

Ein gutes Beispiel dafür ist eine Arztpraxis, in der das Aufnehmen persönlicher Daten von Patienten üblich ist. Ziel sei immer das Implementieren geeigneter Maßnahmen, um solche Risiken einzudämmen. Bei übersichtlichen Verarbeitungssystemen kann eine DSFA noch schlank gehalten werden. Aufwändiger wird es, wenn es sich um ein Krankenhaus mit vielen Abteilungen handelt. Denn dann muss geprüft werden, unter welchen Umständen und mit welchen Sicherheitsvorkehrungen beispielsweise ein Arzt die Daten eines Patienten an die Röntgenstation oder an die Sozialstation weiterleiten darf.

So sieht eine Datenschutz-Folgenabschätzung aus

Im Rahmen der Vorabkontrolle nach dem Bundesdatenschutzgesetz prüften Datenschutzbeauftragte auch bisher schon das Risiko beim Verarbeiten personenbezogener Daten. Mit der neuen EU-Verordnung ändert sich aber der Umfang der Aufgaben. Bislang umfasste der Gesetzestext zur Risikoprüfung der Daten nur wenige Absätze. Die DSFA hingegen besteht aus mehreren Seiten mit detaillierten Angaben und neuen Anforderungen, die umzusetzen sind.

Was aber ist in einer rechtmäßigen DSFA genau abgebildet? Zum Beispiel beschreibt sie, warum das Unternehmen ein berechtigtes Interesse an der Datenverarbeitung hat. Außerdem gibt sie an, welchen Zwecken diese dient und ob diese Zwecke notwendig und verhältnismäßig sind. Sie analysiert, wie groß die Risiken für die Rechte der betroffenen Personen sind. Überdies enthält sie Garantien, Sicherheitsvorkehrungen und Verfahren zur Bewältigung der Risiken.

Wann eine DSFA notwendig ist

Die sorgfältige Risikoprüfung ist besonders dann notwendig, wenn neue Technologien eingesetzt werden. Dazu zählt beispielsweise, wenn eine Chipkarte für den Zugang zu bestimmten Sicherheitsbereichen im Unternehmen durch RFID-Funktechnik ersetzt wird. Dabei stellt sich nämlich die Frage, ob mit der Veränderung höhere Risiken verbunden sind. Weitere Situationen, in denen eine DSFA vorgenommen werden muss:

• Videoüberwachung von öffentlichen Räumen, zum Beispiel im Eingangsbereich eines Unternehmens oder einer Behörde
• Big-Data-Projekte
• Profiling, also Verarbeitungsvorgänge, bei denen persönliche Daten systematisch auf bestimmte Kriterien hin ausgewertet werden

Umfassend dokumentieren

Die Datenschutz-Folgenabschätzung sollten Unternehmen und andere Organisationen umfassend dokumentieren. So belegen sie gegenüber Aufsichtsbehörden, dass sie die DSFA ordnungsgemäß durchgeführt haben. Im Zweifelsfall sollte man die Aufsichtsbehörden kontaktieren. Das bietet angesichts der noch relativ jungen Thematik mehr Sicherheit bei der Umsetzung.

Aber es reicht nicht aus, ein dem Risiko angemessenes Schutzniveau zu implementieren: Die DSGVO verlangt regelmäßiges Überprüfen, Bewerten und Evaluieren der Maßnahmen. Ein funktionierendes Risikomanagement ist hier sehr hilfreich. Nach Inkrafttreten der DSGVO am 25. Mai 2018 werden die Aufsichtsbehörden sicher weitere Präzisierungen und Ausführungen veröffentlichen, die dann beachtet werden müssen.

Weitere Informationen zur Datenschutz-Folgenabschätzung finden Sie hier in dem Whitepaper des Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt  mit Autorinnen und Autoren vom Fraunhofer-Institut für System- und Innovationsforschung ISI, vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein und von der Universität Kassel, Institut für Wirtschaftsrecht.

Bild: © Sergey / fotolia.com