Bevor wir zur Datenschutzfolgeabschätzung kommen, möchte ich auf den Begriff „Risiko“ näher eingehen.
Unter einem Risiko versteht man ein mögliches zukünftiges Szenario, Ereignis, Geschehnis oder eine Tätigkeit, wo ein Schaden, eine Gefahr, Schmerz oder Bedrohung entstehen kann. Risiko ist das, wovor wir Angst haben.
Eine Risikobewertung ist die Aktion, wenn man sich überlegt, ob man etwas wagen kann. Risikobewertung sind Fragen wie: „Was könnte passieren?, Traue ich mir das zu?, Geht das?“
Je besser man die Situation kennt, desto besser kann man sie einschätzen. Um also eine Risikobewertung richtig zu machen, muss man die Situation und Umstände analysieren. Bei dieser Auswertung kommt man dann zum Schluss, ob das Risiko gering oder schwer ist.
Risiko wird oft mit Schicksal oder Zufall gleichgesetzt. Aber wenn wir es uns genau ansehen, dann erkennst Du, dass es etwas mit Wissen zu tun hat. Wenn man eine Situation gut kennt wird es nicht viel Zufall darin geben. Je weniger man eine Situation einschätzen kann, desto mehr Zufall und Schicksal gibt es.
Um nun zum Thema Datenschutz zurückzukehren: Zuverlässige Datenverarbeitung ist kein Zufall, wenn es richtig bewertet und ausgeführt wird. Das Risiko ist nur dann hoch, wenn man nicht weiß was man tut.
Arbeite nicht mit einem Risiko
Mit der drohenden Strafe hat der Gesetzgeber das Risiko für Dich extrem erhöht. Da die Bedrohung nun einmal besteht, ist es das Beste diese richtig anzugehen und sie nicht zu ignorieren. Wenn Du es ignorierst, erschaffst Du Dir ein schweres Risiko. Das ist der Moment wo die Leute sagen: „Damit habe ich nicht gerechnet!“
Quellen von Risiken
Wer könnte ein Interesse an den bei Dir verarbeiteten personenbezogenen Daten haben? Wie hoch ist die Gefahr, dass unrechtmäßiger Zugriff passieren kann, welche Technologien kann man einsetzen, um das zu verhindern (Verschlüsselung). Risiken bestehen auch durch verschiedene Endgeräte oder Speichermedien, Arbeitsmethoden, Abläufe, fehlende Sicherheitseinrichtungen, aber auch durch ungeschultes Personal.
Jedes Risiko muss bewertet werden. Schäden können materiell oder immateriell sein und die „Schwere“ und die Wahrscheinlichkeit sind gemäß dem Erwägungsgrund 75 zu bewerten.
Risiko für den Betroffenen
Dieses Risiko bezieht sich auf den Schaden, den der Betroffene erleiden wird, wenn Deine Verarbeitung mangelhaft ist. So könnte die Person diskriminiert werden oder ihre Kreditwürdigkeit verlieren oder Rufschädigung erfahren, weil bekannt werden würde, dass die Person bei einer nicht anerkannten Religionsgemeinschaft ist. Aber auch jener Schaden, wenn z.B. Kreditkartendaten „verloren“ gehen und dadurch finanzieller Schaden entsteht.
Das und Ähnliches ist unter dem Begriff „Risiken für die Rechte und Freiheiten natürlicher Personen“ zu verstehen.
Datenschutzfolgeabschätzung DSFA
Die DSFA ist eigentlich eine klassische Risikobewertung in Bezug auf die Verarbeitung personenbezogener Daten in Deinem Betrieb.
Die Datenschutzfolgeabschätzung ist Teil des Risikobewertungsprozesses, was personenbezogene Daten betrifft.
Dabei musst Du Dir folgende Frage stellen: Welches Risiko entsteht oder wie hoch ist das Risiko für die Rechte der Betroffenen, wenn gewisse Prozesse und Technologien eingesetzt werden.
Wenn Du mit einem Auftragsverarbeiter zusammenarbeitest, so hat dieser eine Datenschutzfolgeabschätzung vorzunehmen, dass Du auch das Risiko von dieser Seite aufzeichnen kannst.
Obwohl es nicht speziell angesprochen wurde, gilt diese DSFA sicher auch für personenbezogene Daten in Papierform.
Ein weiterer guter Weg um das Risiko zu minimieren ist eine gute Datenverschlüsselung. Siehe dazu vielleicht unter Datenverletzungen nach.
Datenschutzfolgeabschätzung DSFA
Die Datenschutzfolgeabschätzung (DSFA) ist ein sehr wichtiges und sinnvolles Instrument um Risiken einzudämmen und seine Datenverarbeitung sicher zu gestalten. Wenn Du das richtig machst, hilft es nicht nur die internen Verarbeitungsprozesse von personenbezogenen Daten zu verstehen sondern auch die Verordnung gemäß den geltenden Verpflichtungen umzusetzen.
Die Anforderungen, die beim Durchführen einer DSFA notwendig sind, werden in Art.35 DSGVO und den Erwägungsgründen 84,90, 91,92 und 93 (Erwägungsgründe siehe am Ende) angegeben. Es gibt dabei keine besonders vorgeschriebene Methode, dadurch hat der Verantwortliche mehr Handlungsfreiheit.
Da die Risiken und Verfahren nicht unverändert bleiben, ist die DSFA immer wieder zu überprüfen und anzupassen. Um eine vernünftige DSFA zu machen braucht es Kompetenzen im Bereich Datenschutz, Risikobewertung, Risikoermittlung und den speziellen Fachprozessen. Ich würde auf jeden Fall raten die IT-Hersteller und auch die Auftragsverarbeiter miteinzubeziehen.
Die einzelnen Verarbeitungsvorgänge werden nun in Bezug auf die Rechte und Freiheiten der Betroffenen und die damit verfolgten Zwecke bewertet.
- „Steht das alles im richtigen Verhältnis?“
- „Stellt die Verarbeitung ein hohes Risiko dar?“
- „Gibt es einfachere und sichere Methoden der Verarbeitung um diesen Zweck zu erreichen?“
Du kannst die DSFA auch dazu verwenden, um Deine Verarbeitung besser zu evaluieren und vielleicht eine bessere und einfachere Lösung für ein Verarbeitungsproblem finden.
Die ausgewerteten Verabeitungsvorgänge werden dann noch mit den Rechtsgrundlagen (Erinnerung: Datenschutz ist ein Verbotsgesetz) verglichen und dokumentiert.
Am Ende entsteht ein Dokument, dass die beabsichtigten Zwecke der Verarbeitungsvorgänge zeigt, alle Datenflüsse beschreibt, welche Risiken dabei entstehen und welche Methoden und Verfahren eingesetzt werden, um diese Risiken für die Betroffenen zu minimieren.
Das entspricht auch den Anforderungen von Art.35/7 DSGVO, wo eine systematische Beschreibung und Bewertung von Zwecken, Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf das Risiko für den Betroffenen gefordert wird.
Aufgrund der DSFA kommst Du unweigerlich zu dem Punkt, wo Du Dich mit den richtigen Abhilfen für die Abwehr von Bedrohungen auseinandersetzt. Wenn Du dann eine spezielle Verarbeitung durchführen willst, die ein hohes Risiko darstellt, aber durch eine gute technische und organisatorische Maßnahme gefahrlos umsetzbar ist, wirst Du diese anwenden und in Deiner DSFA anführen.
Wenn Du die DSFA richtig gemacht hast, kannst Du die Aktion freigeben und die Verarbeitung danach durchführen. Wobei auch die Durchführung dokumentiert wird.
Es kann sein, dass Deine DSFA ein hohes Restrisiko ergibt. In diesem Fall musst Du bei der Behörde anfragen. Das ist in Art.36 DSGVO geregelt. Die Aufsichtsbehörde hat gemäß Art.58 DSGVO die Befugnis Warnungen, Anweisungen und Verbote zu erteilen.
Eine gute DSFA erfüllt in weiterer Folge die Verpflichtung zur Dokumentation und Umsetzung der in Art.5/2 DSGVO beschriebenen Rechenschaftspflicht.
Unter Umständen kannst Du Teile dieser DSFA auch veröffentlichen, um den Grundsatz der Transparenz zu genügen. Das hat für Dich wahrscheinlich sogar Vorteile, weil es das Vertrauen in Dich stärkt.
Die DSFA ist eigentlich ein laufender Vorgang, den Du immer wieder machst. Auch wenn es nach viel Verwaltungsarbeit aussieht, glaube ich, dass es sich über eine längere Zeit auch auszahlt. Weil Du dann viel bessere und klarere Geschäftsprozesse hast als das vielleicht jetzt der Fall ist.
passende Erwägungsgründe
Schau Dir noch zum besseren Verständnis die nachfolgenden Erwägungsgründe an:
Erwägungsgrund 84 (Umgang mit hohem Risiko)
Erwägungsgrund 90 (Verfahren und Garantien zur Minimierung von Risiken)
Erwägungsgrund 91 (Geltung für umfangreiche Verarbeitungsvorgänge)
Erwägungsgrund 92 (Thematische Abschätzung)
