Datenschutz-Folgenabschätzung - Teil 2: Durchführung einer Datenschutz-Folgenabschätzung (DSFA) und Muster (freie Software PIA von CNIL)

Im letzten Blog-Artikel habe ich die Voraussetzungen erläutert, welche die Durchführung einer Datenschutz-Folgenabschätzung nach DSGVO bedingen. Dazu gehörten Ausschlusskriterien (z. B. Whitelist), Zwangskriterien (den möglichen Eintrag in einer Blacklist) sowie die eigene Risikoanalyse in Form einer die Schwellwertanalyse. Wenn Sie nach all diesen Punkten zu dem Ergebnis gekommen sind, dass Sie eine Datenschutz-Folgenabschätzung für den konkreten Verarbeitungsvorgang durchführen müssen, sollten Sie jetzt weiterlesen...

Folgende vier Punkte müssen Sie im Rahmen einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 7 DSGVO mindestens betrachten:

1. Beschreibung der Verarbeitungsvorgänge

Beschreiben Sie systematisch die geplanten Verarbeitungsvorgänge und die Zwecke der Verarbeitung. Notfalls teilen Sie den großen/ganzen Verarbeitungsvorgang (z. B. Personalverwaltung) in mehrere kleine Verarbeitungsvorgänge (z. B. Zeiterfassung mit biometrischen Daten) und konzentrieren Sie sich in einzelnen DSFA jeweils darauf. Dies reduziert die Komplexität und Sie haben schneller sichtbare Ergebnisse. Falls Sie die Verarbeitung auf der Rechtsgrundlage eines "berechtigten Interesses" tätigen, müssen auch diese ausführlich beschrieben werden.

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit

Bewerten Sie die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck der Verarbeitung. Wenn ich das vorherige Beispiel "Zeiterfassung mit biometrischen Daten (z. B. Finderabdruck)" aufnehmen darf, dann sollten Sie darlegen, wieso es besser ist den Fingerabdruck als einen Login mit Benutzername/Passwort zu nutzen. Wenn Sie darlegen, dass neben dem Fingerabdruck frei wählbar auch ein Login mit Benutzername/Passwort möglich ist, haben Sie das Risiko der Verarbeitung für den Betroffenen/den Mitarbeiter bereits reduziert und die Verhältnismäßigkeit ist durch die freie Wahl der Möglichkeiten zum Auslösen eines Buchungsvorgangs sichergestellt.

3. Bewertung der Risiken

Die Darlegung der Verhältnismäßigkeit der Verarbeitungsvorgänge bereitet den folgenden Punkt, die Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen aufgrund des Verarbeitungsvorgangs, vor. Erklären Sie, welche Risiken für die betroffenen Personen mit dem Verarbeitungsvorgang verbunden sind. Dies betrifft beispielsweise das Risiko der Offenlegung personenbezogener Daten. Ein Risiko, dass durch den aktuellen Doxxing-Fall der Veröffentlichung vieler Daten von Personen aus Politik, Presse und Gesellschaft, wieder präsent ist.

4. Geplante Abhilfemaßnahme

Wenn Sie die Risiken identifiziert haben, müssen Sie die zu der Bewältigung der Risiken geplanten Abhilfemaßnahmen erläutern. Diese Abhilfemaßnahmen oder Gegenmaßnahmen (risk mitigating actions and measures) sollen den Schutz der verarbeiteten, personenbezogenen Daten sicherstellen. Diese Maßnahmen erbringen auch den Nachweis dafür, dasss die DSGVO eingehalten wird und den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Das ganze klingt nicht nur kompliziert - es ist auch so: Sie werden ohne passende Softwareunterstützung eine Datenschutz-Folgenabschätzung nicht vollständig, angemessen dokumentiert und DSGVO-konform durchführen können. Aus diesem Grund empfehle ich Ihnen die Nutzung des  Privacy Impact Assessement Tool (PIA) der französischen Datenschutzaufsichtsbehörde CNIL. Es ist open-source, kostenfrei einsetzbar und auf Englisch/Deutsch verfügbar. Die Software PIA und die deutsche Übersetzung (übersetzt von der Bayerischen Aufsichtsbehörde für Datenschutz - BayLDA) sind aktuell (Januar 2019) noch in Entwicklung („beta“). Trotzdem empfiehlt auch die BayLDA jetzt schon die Nutzung.

Die Beteiligung/Konsultation der zuständigen Landesdatenschutzbehörde ist zusätzlich dann erforderlich, wenn Sie keine hinreichenden Maßnahmen treffen, um ein sich aus einer DSFA hervorgehendes, hohes Risiko einzudämmen (Art. 36 Abs. 1 DSGVO). Insbesondere dann sollten Sie die DSFA mit dem PIA-Tool modelliert haben und das Ergebnis an die zuständige Landesdatenschutzbehörde senden.

Wichtig für Sie ist noch, dass eine Datenschutz-Folgenabschätzung kontinuierlich durchzuführen ist. Ändern sich also während der Nutzung Ihres Verarbeitungsvorgangs die damit einhergehenden Risiken, müssen Sie die DSFA erneut durchführen und dokumentieren.

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter,
Datenschutz und Informationssicherheit
Aachen