- Ruhr-Universität Bochum
Datenschutz-Folgeabschätzung (DSFA)
Die DSGVO verfolgt einen risikobasierten Ansatz, d.h. dass Risiken im Vorhinein eingeschätzt werden und Maßnahmen dagegen getroffen werden müssen. Diese müssen, unter bestimmten Voraussetzungen, gesondert dokumentiert werden.
Was ist eine DSFA?
Eine DSFA ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSFA ist durchzuführen, „wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat“. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DS-GVO sowie ErwG. 84, 90).
Wann wird eine DSFA notwendig?
Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellwertanalyse“). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich. In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.
Art. 35 Abs. 3 DS-GVO benennt einige Faktoren, die wahrscheinlich zu einem hohen Risiko i. S. d. Art. 35 Abs. 1 DS-GVO führen. Aufbauend auf den Leitlinien der Artikel-29-Datenschutzgruppe werden die Datenschutzaufsichtsbehörden zudem eine nicht abschließende Liste mit Verarbeitungstätigkeiten, bei denen eine DSFA durchzuführen ist, veröffentlichen.
Eine DSFA ist vor der Aufnahme der zu betrachtenden Verarbeitungsvorgänge durchzuführen. Auch bereits bestehende Verarbeitungsvorgänge können unter die Pflicht einer DSFA fallen. Da eine DSFA meist nicht ad hoc in wenigen Tagen erstellt werden kann, muss sie rechtzeitig, beispielsweise unterstützt durch ein allgemeines Datenschutz-Managementsystem, auf den Weg gebracht werden.
Begriffserklärung Risiko
Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.1
Schwellwertanalyse
Mit der Schwellwertanalyse soll festgestellt werden, ob die Schwelle zum hohen Risiko für die Rechte und Freiheiten natürlicher Personen überschritten wird, oder nicht.
Um festzustellen, ob ein hohes Risiko besteht und somit eine DSFA notwendig wird, werden die folgenden Schritte durchgeführt (Standard-Datenschutzmodell (SDM)2: D3.2.1 Schwellwert-Analyse):
1. Liste von Verarbeitungstätigkeiten der Aufsichtsbehörde
Zuerst wird geprüft, ob die Verarbeitungstätigkeit in der Liste der Verarbeitungstätigkeiten der Aufsichtsbehörde aufgeführt ist.
Durch die Aufsichtsbehörde wird eine Liste mit Verarbeitungstätigkeiten veröffentlicht, welche eine DSFA notwendig machen. Die für die Ruhr-Universität zuständige Aufsichtsbehörde ist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW).
Aus der Liste3 für den öffentlichen Bereich ergeben sich folgende weitere Fälle in denen eine DSFA durchgeführt werden muss:
Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-
Folgenabschätzung durchzuführen ist (Ausschnitt)
Umfangreiche Verarbeitung von personenbezogenen Daten im Rahmen der Kinder- und Jugendhilfe insbesondere der Beratung und Beantragung von Hilfen zur Erziehung, Eingliederungshilfe für seelisch behinderte Kinder und Jugendliche und Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts, Förderung von Kindern in Kindertagesbetreuung, Hilfe für junge Volljährige sowie Beratung und Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts (Verarbeitungstätigkeiten der Kinder- und Jugendhilfe)
Verarbeitung der Meldedaten, Melderegister und Spiegelregister von Mittel- und Großstädten sowie vergleichbaren Kommunen und bei landesweiten Verfahren
Umfangreiche Verarbeitung personenbezogener Daten im Rahmen der amtlichen Statistik, deren Erhebung, Speicherung und Verarbeitung, insbesondere der Anonymisierungsprozesse sowie deren statistische Aufbereitung vor/für die Übermittlung der Informationen an Dritte (Verarbeitung der personenbezogenen Daten im Rahmen der amtlichen Statistik)
2. Fälle die zu einer DSFA führen
Falls die Verarbeitungstätigkeit nicht durch die Aufsichtsbehörde gelistet ist, wird lt. Art. 35 (3), DSGVO eine DSFA insbesondere in den folgenden Fällen erforderlich:
Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen
“systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;” Art. 35 (3) a), DSGVO
Als Beispiel wäre hier z.B. die Verarbeitungstätigkeit der Schufa zu nennen oder die automatisierte Bewertung von Bewerber:innen in einem Unternehmen.
Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten
“umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10” Art. 35 (3) b), DSGVO
Definition besonderer Kategorien personenbezogener Daten
Die besonderen Kategorien personenbezogener Daten lassen sich aus Art. 9, DSGVO4 herleiten:
- Rassische und ethnische Herkunft
- Politische Meinung
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische Daten
- Biometrische Daten zur eindeutigen identifizierung einer natürlichen Person
- Gesundheitsdaten
- Sexualleben
- Sexuelle Orientierung
Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
“systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.” Art. 35 (3) c), DSGVO
3. Verarbeitungstätigkeiten mit “voraussichtlich hohem Risiko”
Trifft Art. 35 (3) nicht zu, hat der europäische Datenschutzausschuss eine Liste von Verarbeitungstätigkeiten mit “voraussichtlich hohem Risiko” veröffentlicht, welche ebenfalls geprüft werden muss:
Verarbeitungstätigkeiten mit “voraussichtlich hohem Risiko”
Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist in den meisten Fällen eine DSFA durch den Verantwortlichen durchzuführen. In wenigen Einzelfällen mag es auch vorkommen, dass nur eines der genannten Kriterien erfüllt wird und dennoch auf Grund eines hohen Risikos des Verarbeitungsvorgangs eine DSFA notwendig wird.
a) Vertrauliche oder höchst persönliche Daten
b) Daten zu schutzbedürftigen Betroffenen
c) Datenverarbeitung in großem Umfang
d) Systematische Überwachung
e) Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
f) Bewerten oder Einstufen (Scoring)
g) Abgleichen oder Zusammenführen von Datensätzen
h) Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
i) Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert
4. Risiko für betroffene Personen
Lt. SDM ist zu “Prüfen, ob Art, Umfang, Umstände oder Zwecke (ErwG 76 DS-GVO) der
Verarbeitungstätigkeit das Risiko für betroffene Personen erhöhen. Hierfür ist es ratsam,
entsprechende Praxiserfahrungen und konkretisierende Gerichtsurteile in die Prüfung eines
eventuell bestehenden hohen Risikos einzubeziehen.”
Risikoidentifikation
Zur Identifikation von Risiken stellt das SDM folgende Fragen (Standard-Datenschutzmodell: D3.2.2 Risikoidentifikation):
- Welche Schäden können für betroffene Personen auf der Grundlage der zu verarbeitenden Daten auftreten?
- Wodurch, d. h. durch welche Ereignisse kann es zu dem Schaden kommen?
- Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?
Risikobewertung
Nun müssen Schwere und Eintrittswahrscheinlichkeit der identifizierten Risiken bewertet werden. Aus dieser Bewertung heraus kann nun Höhe des Risikos objektiv eingestuft werden. (Standard-Datenschutzmodell: D3.2.3 Risikobewertung)
Dies kann z.B. anhand einer Risikomatrix erfolgen:
Quelle: LDA Bayern – Datenschutzfolgeabschätzung 5
Vorlage für die Durchführung einer DSFA
Zur Durchführung einer DSFA existiert an der Ruhr-Universität eine Vorlage, um die Dokumentation zu vereinfachen.
Das Template ermöglicht es u.a. die Risikobewertung für einzelner Verarbeitungstätigkeiten bzw. Prozesse durchzuführen.
Diese Vorlage baut darauf auf, dass vom Verantwortlichen bereits eine Liste von Verarbeitungstätigkeiten erstellt wurde und im Anschluss daran nun eine DSFA erstellt wird.
Das DSFA-Template wurde auf Grundlage des “Template zur Dokumentation von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO” der TMF – Technologie- und Methodenplattform für die vernetzte medizinische Forschung e.V. erstellt.
Für weitere Informationen:
- Datenschutzkonferenz – Kurzpapier Nr. 18
Risiko für die Rechte und Freiheiten natürlicher Personen
I. Risiko nach der DS-GVO (Begriffsklärung)
Stand: 26.04.2018 [Externer Link] ↩︎ - Standard-Datenschutzmodell, Version 2.0 [Externer Link] ↩︎
- LDI NRW
Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO
Version: 0.2, Stand: 03.08.2018 [Externer Link] ↩︎ - Artikel 9, DSGVO im Datenschutz-Wiki [Externer Link] ↩︎
- LDA Bayern – Datenschutzfolgeabschätzung [Externer Link] ↩︎
