Datenschutz-Folgenabschätzung – Dokumentation ist wichtig
Das Thema Datenschutz nimmt zweifelsfrei einen wichtigen Stellenwert in Unternehmen und Organisationen ein. Der Schutz personenbezogener Daten muss sowohl bei Großkonzernen als auch bei kleinen und mittelständischen Unternehmen sichergestellt und in entsprechenden Prozessen niedergelegt sein.
Im Rahmen eines wirksamen Datenschutzkonzeptes spielt die sog. Datenschutz-Folgenabschätzung (DSFA) eine große Rolle. Sie gehört zu den wesentlichen Instrumenten der EU-Datenschutzgrundverordnung (DSGVO) und ist dort in Art. 35 beschrieben.
Die DSFA dient der Risikobeschreibung, -bewertung und -minimierung bei der Verarbeitung personenbezogener Daten und muss immer dann erfolgen, wenn diese Verarbeitung aufgrund der Art, des Umfangs, der Umstände und des Zwecks voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Verantwortliche steht daher bereits vor Aufnahme einer Verarbeitungstätigkeit in der Pflicht zu prüfen und zu dokumentieren, ob ein solches hohes Risiko voraussichtlich vorliegt.
Wann ist eine Datenschutz-Folgenabschätzung notwendig?
Mit anderen Worten ausgedrückt, muss sich der Verantwortliche im Unternehmen oder in der Organisation die Frage stellen, welches Risiko entsteht oder wie hoch das Risiko für die Rechte der Betroffenen ist, wenn neue Prozesse und Technologien zur Datenverarbeitung angewandt werden. Wenn die Antwort auf diese Fragestellung ist, dass die Verarbeitung personenbezogener Daten ein hohes oder sehr hohes Risiko für die Rechte und Freiheiten einer Person zur Folge hat, ist eine DSFA vorzunehmen.
Anhaltspunkte, welche Formen der Verarbeitung aufgrund ihres hohen Risikos für Datenschutzverletzungen von der Pflicht zur Anfertigung einer DSFA betroffen sind, geben Listen, die auf der Internetseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) veröffentlicht sind.
Beispielhaft seien für nicht-öffentliche Stellen folgende Anwendungen benannt, die eine DSFA notwendig machen:
Betrieb von Dating- und Kontaktportalen
Telefongespräch-Auswertung mittels Algorithmen
Einsatz biometrischer Systeme zur Zutrittskontrolle
Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.
Geolokalisierung von Beschäftigten
Kundensupport mittels künstlicher Intelligenz
Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
Wenn neue Risiken auftreten oder hinzukommen, sollte die DSFA überarbeitet werden. Entsprechende regelmäßige Aktualisierungsintervalle stellen sicher, dass die DSFA immer auf dem neuesten Stand ist.
Wie wird eine Datenschutz-Folgenabschätzung durchgeführt und dokumentiert?
Die DSGVO legt in Art. 7 Abs. 7 den folgenden Mindestinhalt für die DSFA fest – ohne Details zur Durchführung an sich festzuschreiben:
Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
Risikobewertung
Geplante Abhilfemaßnahmen zur der Risikobewältigung
Die Erstellung der DSFA darf zur Vermeidung von Interessenkonflikten nicht in den Händen des Datenschutzbeauftragten liegen. Vielmehr ist die Bildung eines interdisziplinären Teams mit Kompetenzen im Bereich Datenschutz, Informationstechnik, Risikobewertung, Risikoermittlung und speziellen Fachprozessen angezeigt, das sich unter Einbeziehung des Datenschutzbeauftragten und unter seiner Überwachung gemeinsam der Durchführung der DSFA widmet.
Auch, wenn die DSGVO keine Vorgehensweise konkret vorschreibt, empfiehlt sich für das DSFA-Team zur Erreichung der geforderten Mindestinhalte eine gewisse Schrittigkeit bei der Erstellung der DSFA. Nach der Teamzusammenstellung und einem ersten Treffen, in dessen Rahmen die Methoden und Prüfumfänge umrissen werden, sollte das Team die Form der zu bewertenden Datenverarbeitung und schon vorhandene technische-organisatorische Maßnahmen beschreiben. Im nächsten Schritt ist dann zu prüfen ob die Verarbeitung hinsichtlich ihres Zweckes notwendig und verhältnismäßig ist. Dann erfolgt die Bewertung der Risiken anhand einer klassischen Risikobewertungsmatrix. Darauffolgend sind die geplanten Maßnahmen zu definieren, die den Schutz der personenbezogenen Daten gewährleisten sollen. Final sind die geplanten Maßnahmen dann mit Leben zu erfüllen und umzusetzen.
Der gesamte Prozess, in welchem die DSFA entsteht, sollte genau dokumentiert werden, um den Aufsichtsbehörden gegenüber auskunftsfähig zu sein und das Vorhandensein der DSFA nachweisen zu können.
Als Folge des Verstoßes gegen die Pflicht zur Durchführung einer DSFA können nach Art. 83 DSGVO Bußgelder in Höhe von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Dies gilt es natürlich zu vermeiden. Daher ist es jedem Unternehmen und jeder Organisation anzuraten, zu prüfen, ob Risiken vorhanden sind, die eine DSFA erforderlich machen und dann die notwendigen Maßnahmen zu ergreifen.