Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung (kurz: DSFA) ist ein speziell auf den Datenschutz zugeschnittenes Risikomanagement. Es bezieht sich auf einen Verarbeitungsvorgang, das heißt, auf ein Produkt oder einen Prozess im Unternehmen und auf die Infrastruktur, die dabei genutzt wird, also die Hard- und Software, das Personal etc.

Verarbeitungsvorgänge sind beispielsweise eine App, eine Online-Plattform, eine Software, eine Cloud oder Prozesse wie Videoüberwachung oder Protokollierung von Arbeitsaktivitäten von Angestellten im Unternehmen.

Wer muss eine Datenschutz-Folgenabschätzung durchführen?

Eine DSFA durchzuführen ist dann gesetzlich verpflichtend, wenn von dem Produkt oder dem Prozess ein erhöhtes Risiko für die von diesem Vorgang betroffenen ausgeht. Die Betroffenen können beispielsweise die Nutzer einer App sein, das überwachte Personal des Unternehmens oder die Nutzer einer Online-Plattform.

Gängige Beispiele für Vorgänge, für die man eine DSFA durchführen muss, sind Gesundheits- und Fitness-Apps, Immobilienportale, in denen Daten zu Mietinteressenten verarbeitet werden oder auch Personalverwaltungssoftware.

Die deutschen Aufsichtsbehörden schreiben vor, dass Datenschutz-Folgenabschätzungen unter anderem für alle Vorgänge durchgeführt werden müssen, die eine oder mehrere der folgenden Eigenschaften aufweisen:

• das Erstellen von Kundenprofilen,
• die Verarbeitung von Gesundheitsdaten,
• die Verarbeitung von Standortdaten,
• das Zusammenführen von Datensätzen,
• die Anonymisierung von Datensätzen,
• die Übermittlung von Datensätzen zwischen Unternehmen,
• Profiling,
• Scoring,
• teil-automatisierte Entscheidungsfindung,
• Überwachung von Mitarbeitern,
• Installation von Überwachungskameras.

Wir haben in Excel ein praktisches Formular erstellt, mit dem man prüfen und anschließend nachweisen kann, ob entsprechend der Vorgaben der deutschen Aufsichtsbehörden, des Europäischen Datenschutzausschusses und der DS-GVO selbst die Pflicht, eine DSFA durchzuführen, für eine Verarbeitung (beispielsweise eine App), ausgelöst wird.

Wieso ist das sinnvoll?

Das eine ist natürlich, seine gesetzlichen Pflichten zu erfüllen. Eine DSFA kann ein Unternehmen aber gerade im B2B-Bereich stark nach vorn bringen.

Ein guter DSFA-Bericht ist ein Sales-Booster

Mit einem Bericht über eine Datenschutz-Folgenabschätzung kann man Geschäftskunden überzeugen, dass die App oder die Software, die man Ihnen verkauft, datenschutzkonform ist. Der übliche Weg bei der Gewinnung von Geschäftskunden ist, dass der Geschäftskunde bei Interesse am Produkt seine Datenschutz-Abteilung einschaltet und sie fragt, ob das Geschäft am Datenschutz scheitern könnte. Ein DSFA-Bericht ist hier genau das richtige Dokument, Probleme und Verzögerungen abzuwehren. Ein DSFA-Bericht wird von Fachleuten für Fachleute geschrieben, weswegen der Datenschutzbeauftragte des Kunden auf Grundlage eines DSFA-Berichts schnell beurteilen kann, dass alles seine Richtigkeit hat.

Eine schlechte, verspätete oder unterlassene DSFA bedeutet Verzögerungen, Geldbußen und Haftstrafen

Aus rechtlicher Sicht es auch sinnvoll, eine DSFA vorzunehmen, wenn ein Vorgang erhöhte Risiken bergen kann. Wenn man kein fachlich fundiertes Sicherheitskonzept vorzeigen kann, dass die erdenklichen Risiken auf ein geringes oder mittleres Niveau senkt, muss zuvor die zuständige Aufsichtsbehörde konsultiert werden. Diese kann dann die Tätigkeit des Unternehmens untersagen und macht Vorgaben, die das Unternehmen umsetzen muss, bevor es seine Tätigkeit aufnehmen kann und verhängt Bußgelder, falls das Unternehmen seine Tätigkeit schon begonnen hatte. Selbst wenn es zu keinem Bußgeld kommt, kostet die Arbeit der Behörde bares Geld, da sie nicht kostenlos tätig wird, sondern sich ihren Aufwand vom Unternehmen erstatten lässt.

Falls geschäftsmäßig Daten verkauft oder übermittelt wurden, kann man sogar ins Gefängnis kommen, da das Bundesdatenschutzgesetz Strafvorschriften für Bereicherung durch nicht datenschutzkonform verarbeitete Daten kennt.

Wie erstelle ich eine Datenschutz-Folgenabschätzung?

Zur Vorbereitung einer DSFA muss man seine Verarbeitungsvorgänge zunächst sorgfältig dokumentieren. Die DSFA selbst besteht aus einem Teil zum Datenschutz und einem Teil zur Datensicherheit. Der erste Teil bewertet, ob die Verarbeitung gesetzeskonform ist, der zweite Teil stellt das eigentliche Risikomanagement dar, in dem geschaut wird, was alles schief gehen könnte, welche Schäden Betroffene dadurch erleiden könnten und wie man solchen Vorfällen effektiv vorbeugt.

Der Reihe nach sieht das so aus:

1. Zuerst muss man den Verarbeitungsvorgang systematisch beschreiben. Hier ist ein Verzeichnis von Verarbeitungstätigkeiten der ideale Ausgangspunkt, da es die wesentlichen Informationen enthält, um im Bericht zu beurteilen, ob alles aus Sicht des Datenschutzes in Ordnung ist. Auch Click-Dummys können hier hilfreich sein.
2. Danach erstellt man einen Überblick über die Infrastruktur des Verarbeitungsvorgangs. Man schildert also, welche IT-Infrastruktur genutzt wird, wie die Datenflüsse aussehen, welche Datenarten wann und wo verarbeitet werden und welche Benutzerrollen es gibt. Diese Beschreibung ist die Grundlage für das Sicherheitskonzept, das beschreibt, wie welche Teile der Infrastruktur geschützt werden müssen.
3. Nach der Dokumentation erstellt man einen Bericht, der die einzelnen Prüfaspekte, die das Datenschutzrecht vorschreibt, als Gliederungspunkte beinhaltet und prüft zunächst, ob der Vorgang aus Sicht des Datenschutzes legal ist, oder ob sich dort Rechtswidrigkeiten finden.
4. Im Risiko-Teil des Berichts werden zuerst die möglichen Risiken beschrieben für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen (zum Beispiel der Nutzer einer App). Hierfür überlegt man, welche möglichen Schäden ein Angreifer für die Betroffenen anrichten könnte, wenn er die Infrastruktur der Verarbeitung stört oder Daten verfälscht, vernichtet oder veröffentlicht.
5. Schließlich wird das Sicherheitskonzept entwickelt, das den Angriffen vorbeugt, die man zuvor modelliert hat. Das Sicherheitskonzept muss das Risikoniveau auf ein geringes oder mittleres Niveau bringen können. Ansonsten darf die Verarbeitung nicht vorgenommen werden, bevor man die für sich zuständige Aufsichtsbehörde konsultiert hat. Und das kostet Zeit und Geld.

Der Gegenstand

Eine DSFA bezieht sich immer auf einen Verarbeitungsvorgang, das heißt, auf ein bestimmtes Produkt und die damit verbundenen Prozesse (zum Beispiel eine Gesundheits-App oder eine Personalverwaltungssoftware) oder auf einen Vorgang im Unternehmen (zum Beispiel Videoüberwachung) sowie die Infrastruktur, die diese Prozesse nutzen, also die Hardware, Software, Netzwerke, Personen, Papiere oder Übertragungsmedien für Papiere.

Die Form

Ein DSFA-Bericht ist letztendlich ein Text-Dokument. Die vorbereitenden Dokumentationen erstellt man für den Datenschutz gewöhnlich in tabellarischer Form in Excel. Die Dokumentation der Infrastruktur kann man als Diagramm erstellen, um alles möglichst übersichtlich zu halten.

Der Inhalt

Genaue Vorgaben zum Inhalt gibt der Anhang der Leitlinien der Artikel-29-Datenschutzgruppe zu DSFAs. Dies sind:

• eine systematische Beschreibung der Verarbeitungsvorgänge (auf Grundlage eines Verzeichnisses von Verarbeitungstätigkeiten), die
  • die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt;
  • die personenbezogenen Daten, die Empfänger und die Speicherfrist für die personenbezogenen Daten festhält;
• eine systematische Beschreibung der Infrastruktur;
• eine datenschutzrechtliche Bewertung, ob
  • die Verarbeitung notwendig und verhältnismäßig ist;
  • die Zwecke der Verarbeitung festgelegt, eindeutig und legitim sind;
  • die verarbeiteten Daten dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt sind;
  • die Speicherfrist begrenzt ist;
  • die Betroffenenrechte eingehalten werden (insbesondere auch, ob Datenschutzerklärungen vorhanden sind);
  • mit Auftragsverarbeitern und weiteren Empfängern der Daten geeignete Verträge geschlossen wurden;
• eine Risikoanalyse, am besten gemäß eines anerkannten Standards wie ISO 27001 oder BSI-Standard 200-3 bestehend aus
  • einer Beschreibung der Risiken für die Rechte und Freiheiten der betroffenen Personen durch unrechtmäßigen Datenzugriff, unerwünschte Änderung und Verschwinden von Daten;
  • einer Bewertung der Schwere und Eintrittswahrscheinlichkeit der einzelnen Risiken;
  • einer Beschreibung der Sicherheitsvorkehrungen, die zur Bewältigung dieser Risiken ergriffen wurden;
  • einer Bewertung der verbleibenden Restrisiken;
• der Nachweis, dass der Rat eines Datenschutzbeauftragten eingeholt wurde. Ihr habt keinen DSB oder du möchtest als DSB externe Unterstützung? Fragt uns! Wir helfen gern.

Wie sieht ein Muster für eine DSFA aus?

Ein sehr ausführliches Beispiel für eine Datenschutz-Folgenabschätzung ist die offizielle DSFA der Corona-Warn-App.

Wer führt Datenschutz-Folgenabschätzung durch?

Nach deutschem Recht muss ein Datenschutzbeauftragter an einer DSFA mitwirken. Wir helfen dabei jederzeit gerne und schnell.

Bei einem Risiko-Check klären wir, ob bei Ihnen die Pflicht ausgelöst wird, eine DSFA durchzuführen. Ein solcher Risiko-Check heißt im Datenschutz „Schwellwertanalyse„.

Bei einer Datenschutz-Folgenabschätzung erstellen wir Ihnen ein Sicherheitskonzept und beraten Sie, ob Ihr Produkt (zum Beispiel Ihre App) gegebenenfalls angepasst werden muss, um datenschutzkonform zu sein. Daraufhin erstellen wir einen fertigen Bericht, den Sie Geschäftskunden vorlegen können, um die Konformität Ihres Produktes nachzuweisen.

Nochmal in trocken!

• Art. 35 Abs. 1, 3–5 DS‑GVO beschreiben, wann die Pflicht, eine Datenschutz-Folgenabschätzung durchzuführen, ausgelöst wird.
• Art. 35 Abs. 2 und 7–11 DS-GVO beschreiben, was alles zu tun ist bei einer Datenschutz-Folgenabschätzung.
• § 67 Abs. 1 und 2 BDSG beschreiben, wann die Pflicht, eine Datenschutz-Folgenabschätzung durchzuführen, ausgelöst wird.
• § 67 Abs. 3–5 BDSG beschreiben, was alles zu tun ist bei einer Datenschutz-Folgenabschätzung.

Wo erfahre ich mehr darüber?

Über die Kriterien, die die Pflicht auslösen, eine DSFA durchzuführen

• Die Datenschutzkonferenz, also der Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder, bieten in ihrer sogenannten „Muss-Liste“ zahlreiche Beispiele für konkrete Verarbeitungen, für die eine DSFA durchgeführt werden muss. Diese Liste ist ein sehr guter erster Ausgangspunkt. Wem die Muss-Liste der DSK zu viel Text ist, kann stattdessen unseren kurzen Fragebogen nutzen. Eine Beurteilung darüber, ob die Pflicht ausgelöst wurde oder nicht, bieten wir auch als Dienstleistung an.
• Die Leitlinien der Artikel-29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (WP 248) erörtern tiefergehend die einzelnen Kriterien, wann die Pflicht, eine DSFA durchzuführen, ausgelöst wird, und geben im Anhand einen Überblick darüber, was alles zu tun ist bei einer DSFA.

Über die Inhalte, die eine DSFA haben muss

• Die Datenschutzkonferenz erläutert in ihrem allgemeinverständlichen Kurzpapier Nr. 5, was alles zu tun ist bei einer DSFA. Auf die Frage, wann die Pflicht, eine DSFA durchzuführen, ausgelöst wird, gehen sie nur ganz übergeordnet ein.
• In ihrem Kurzpapier Nr. 18 gibt die Datenschutzkonferenz eine kurze Einführung in die Risikoanalyse im Datenschutz.
• Der Verband Bitkom hat einen übersichtlichen und fachlich sehr fundierten Leitfaden „Risk Assessment & Datenschutz-Folgenabschätzung„ kostenlos veröffentlicht.
• Nach deutschem Recht muss ein Datenschutzbeauftragter an einer DSFA mitwirken. Wir helfen dabei jederzeit gerne und schnell.
• Wir bilden Sie außerdem zum Datenschutzbeauftragten fort und bieten gesonderte Fortbildungen für Datenschutz-Folgenabschätzungen an.

Über den Verfasser

Dieser Beitrag wurde von Dr. Werner Schäfke‑Zell, Datenschutzauditor (TÜV), Geschäftsführer von Caladan, verfasst.