Eine Datenschutz-Folgenabschätzung (DSFA) ist laut Artikel
35 der EU-Datenschutz-Grundverordnung (DSGVO) in bestimmten Fällen
erforderlich. Die DSFA ist insbesondere dann durchzuführen, wenn eine Art der
Datenverarbeitung, insbesondere unter Verwendung neuer Technologien, aufgrund
ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein
hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Einige
konkrete Beispiele, bei denen eine DSFA erforderlich sein könnte, sind:
- Systematische und umfassende Bewertung persönlicher Aspekte:
Dies bezieht sich auf Verarbeitungsvorgänge, die darauf abzielen, Aspekte der
Persönlichkeit oder des Verhaltens einer natürlichen Person zu bewerten oder zu
analysieren (z.B. Profiling).
- Großangelegte Verarbeitung besonderer Kategorien von Daten: Dies umfasst die Verarbeitung sensibler Daten wie Gesundheitsdaten, genetische Daten, biometrische Daten, Daten über sexuelle Orientierung, religiöse oder politische Überzeugungen in großem Umfang.
- Überwachung öffentlich zugänglicher Bereiche in großem
Umfang: Dazu gehört insbesondere die systematische Überwachung eines öffentlich
zugänglichen Bereichs, wie z.B. die umfangreiche Videoüberwachung.
- Verwendung neuer Technologien: Die Einführung einer neuen
Technologie kann zusätzliche Risiken mit sich bringen, die eine DSFA
erforderlich machen.
- Datenverarbeitung, die das Ausschließen von Personen von
Rechten, Dienstleistungen oder Verträgen zur Folge hat: Hierbei geht es um
Entscheidungsfindungsprozesse, die auf automatisierter Verarbeitung beruhen,
wie z.B. Online-Kreditentscheidungen oder E-Recruiting-Praktiken ohne
menschliche Intervention.
Die DSGVO empfiehlt, dass Verantwortliche vor Beginn
derartiger Verarbeitungsvorgänge eine DSFA durchführen, um die mit der
Verarbeitung verbundenen Risiken zu identifizieren und zu mindern. Es ist zu
beachten, dass diese Liste nicht erschöpfend ist, und in bestimmten Fällen
können die nationalen Datenschutzbehörden weitere Verarbeitungstätigkeiten
definieren, für die eine DSFA erforderlich ist.
Vorgehensweise:
- Identifizierung des Verarbeitungsvorgangs: Definieren
Sie, welche Art der Datenverarbeitung bewertet wird.
- Ermittlung des Bedarfs einer DSFA: Prüfen Sie, ob die Art
der Verarbeitung eine hohe Wahrscheinlichkeit und Schwere für die Rechte und
Freiheiten natürlicher Personen birgt. Siehe oben
- Beschreibung der Datenverarbeitung: Detaillierte
Beschreibung des Verarbeitungsvorgangs, einschließlich Zweck, Umfang, Kontext
und Datenkategorien.
- Bewertung der Notwendigkeit und Verhältnismäßigkeit:
Bewertung, ob die Verarbeitungsvorgänge notwendig und verhältnismäßig im
Hinblick auf den Zweck sind.
- Bewertung der Risiken für die Rechte und Freiheiten der
Betroffenen: Identifizierung und Bewertung der potenziellen Risiken.
- Maßnahmen zur Risikominderung: Festlegung von Maßnahmen
zur Behandlung identifizierter Risiken und zum Schutz personenbezogener Daten.
- Konsultation der Aufsichtsbehörde (falls erforderlich):
Bei hohem Risiko, das nicht gemindert werden kann, ist eine Konsultation der
Datenschutzaufsichtsbehörde erforderlich.
- Dokumentation und Überprüfung: Dokumentieren Sie den
Prozess und die Ergebnisse und überprüfen Sie die DSFA regelmäßig.
Besonders hilfreich finde ich eine Risikobewertungsmatrix, welche z.B. in Excel erstellt wird. Die Vorgehensweise ist denkbar einfach.
Auf der horizontalen Achse bewerten Sie in 5 Schritten das Risiko für einen Betroffenen, sollte ein Datenverlust auftreten. Das reicht von geringem Risiko, wenn z.B. nur Informationen preisgegeben werden, welche ohnedies bekannt sind bis hin zu einem so hohen Risiko, dass ein massiver Nachteil für den Betroffenen eintreten würde.
Auf der vertikalen Achse bewerten Sie die Eintrittswahrscheinlichkeit. Von faktisch ausgeschlossen bis hin zu großer Eintrittswahrscheinlichkeit. Der Schnittpunkt ergibt das Risiko. Je weiter oben rechts dieser Schnittpunkt ist, desto höher das Gesamtrisiko der Verarbeitung.