Chefredakteur

Kategorien

    Stichwort des Monats: Datenschutz-Folgenabschätzung


    Verhältnis zur Vorabkontrolle nach BDSG: Ausgangspunkt ist die Einschätzung des Bayerischen Landesamtes für Datenschutzaufsicht, dass Datenschutz-Folgenabschätzung (kurz DSFA) ein „nichttrivialer Prozess“ ist, der eine systematische Vorgehensweise samt sehr ausführlicher Dokumentation erfordert und daher nicht als „BDSG-Vorabkontrolle 2.0“ anzusehen sei.

    DSFA als Begriff

    Die Unsicherheit, was genau die Datenschutz-Folgenabschätzung ist, betrifft alle. Die DSGVO formuliert noch einfach, was eine Datenschutz-Folgenabschätzung sein soll: Eine „Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten“ (Art. 35 Abs. 1 Satz 1 DSGVO). Etwas genauer formuliert Erwägungsgrund 84 Satz 1, dass bei der DSFA „Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden“ sollen, wobei mit „diesem Risiko“ ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen (nämlich der betroffenen Personen) gemeint ist. Damit ist klar, dass irgendwie die Datenschutzkonformität von Verarbeitungen zu prüfen ist. Somit bleibt letztlich die Schwierigkeit bei der DSFA vergleichbar mit der Vorabkontrolle: Ohne abgestimmten Ablauf einer DSFA wird die Qualität der DSFA höchst unterschiedlich bleiben.

    DSFA als Prozess

    Also versuchen die Aufsichtsbehörden, die DSFA prozessmäßig zu beschreiben. Eine ausgefeilte Vorgehensweise haben die Aufsichtsbehörden im Jahr 2016 mit ihrem Standard-Datenschutzmodell (SDM) vorgestellt (www.siehe.eu/da854). Es geht dabei um eine Prüfung der Rechtmäßigkeit von Datenverarbeitungsverfahren unter Einbeziehung der auf die Betroffenen bezogenen Informationssicherheit und mit einer Auflistung von Möglichkeiten, das Datenverarbeitungsrisiko für die Rechte und Freiheiten der Betroffenen zu reduzieren (zum Beispiel Implementierung automatischer Sperr- und Löschroutinen, regelmäßiges Durchführen von Tests zur Feststellung und Dokumentation der Funktionalität). Woran es noch fehlt, sind pragmatische Vorgehensweisen, die die Abarbeitung einer solchen DSFA nach SDM mit erträglichem Zeitaufwand möglich machen.

    Auch das Kurzpapier Nr. 5 – Datenschutz-Folgenabschätzung nach Art. 35 DSGVO der Datenschutzkonferenz vom 24.07.2017 (www.siehe.eu/da855) könnte noch praxisorientierter sein. Mit 16 Checkpunkten der Vorgehensweise (u.a. Zusammenstellung des DSFA-Teams, Prüfplanung, Bewertung der Notwendigkeit/Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf ihren Zweck, Risikobeurteilung, Auswahl geeigneter Abhilfemaßnahmen, Test der Abhilfemaßnahmen, Fortschreibung) wird es allein von Großunternehmen zu schultern sein. Was weiterhin fehlt, ist eine übersichtliche und schnell abarbeitbare Beschreibung, wie kleine oder mittelgroße Unternehmen oder Behörden mit angemessenen Mitteln ihre Pflicht zur DSFA und überhaupt ihre Pflicht zur Rechtmäßigkeitsprüfung der Datenverarbeitungsverfahren erledigen können.

    (Philipp Kramer, Chefredakteur Datenschutz-Berater)

    Der Beitrag stammt aus der aktuellen Ausgabe des Datenschutz-Berater. Hier gelangen Sie zur kompletten Ausgabe.


    Top