Datenschutz Folgeabschätzung2018-09-17T16:40:43+00:00


Die Datenschutz Folgeabschätzung (DSFA)


Verantwortliche im Sinne der DSGVO müssen für alle Verarbeitungsvorgänge geeignete Maßnahmen ergreifen, um die Einhaltung der DSGVO zu gewährleisten. Bei Auswahl der Maßnahmen müssen gemäß Artikel 24 Abs. 1 auch die Eintrittswahrscheinlichkeit und Schwere der Risiken eingeschätzt werden, und je nach Beurteilung auch entsprechende Maßnahmen zur Risikominimierung gesetzt werden.

Sollte bei dieser Einschätzung ein wahrscheinlich hohes Risiko für die Freiheit und Rechte einer natürlichen Person festgestellt werden, so bedarf es nicht nur angemessener Maßnahmen, sondern auch einer Datenschutz-Folgeabschätzung (DSFA) nach Art 35 DSGVO.

Es existieren allerdings gewisse Vorgänge, welche von sich aus bereits einer DSFA bedürfen. Diese Vorgänge sind einer sogenannten Blacklist der Datenschutzbehörde ersichtlich. Darüber hinaus gibt es von dieser Behörde auch noch eine Whitelist, in welcher Vorgänge angeführt werden, welche keiner DSFA bedürfen.



Welche Leistungen bietet Consulio Ihnen an


Wenn Sie wissen möchten, ob ein Datenverarbeitungsprozess von Ihnen einer Datenschutzfolgeabschätzung bedarf, können Sie sich gerne an uns wenden. Wir werden Ihren Prozess analysieren und Ihnen für ihr Verarbeitungsverzeichnis eine begründete Dokumentation der Entscheidung geben, ob für diesen Prozess eine Datenschutz-Folgeabschätzung notwendig ist oder nicht.

Darüber hinaus unterstützen wir Sie auch gerne bei der Datenschutz-Folgeabschätzung selbst. Wir erstellen für Sie sowohl die Risikobewertung inklusive Risikomatrix als auch das darauffolgende Risikomanagement. Durch unsere Erfahrungen im IT Bereich wissen wir, wie sich Risiken am besten und kosteneffizient minimieren lassen und können so die für Ihren Prozess beste Lösung finden. Natürlich unterstützen wir sie auch bei der Umsetzung unserer Lösungsvorschläge.




Wann bedarf es einer Datenschutz Folgeabschätzung


Grundsatz der Risikoabschätzung

Bei der Einstufung, ob ein Verarbeitungsvorgang ein wahrscheinlich hohes Risiko darstellt, wurden von der EU eine Leitlinie erlassen (hier ein entsprechender Link dazu), welch diese Frage näher regelt. So wurden 9 Punkte erarbeitet, welche ein hohes Risiko bezügliche des Datenschutzes indizieren, wenn zwei oder mehr von diesen Punkten gleichzeitig erfüllt sind.

  • Bewertungen oder Einstufungen, insbesondere das Erstellen von Profilen und Prognosen, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interesse, Zuverlässigkeit oder Verhalten, den Aufenthaltsort oder Ortswechsel betreffen.
  • Eine automatisierte Entscheidungsfindung welche zu einer Rechtswirkung oder einer ähnlich bedeutsamen Wirkung führt.
  • Eine systematische Überwachung, wobei die Überwachung auf von Netzwerken erfasste Daten oder auf eine systematische Überwachung öffentlich zugänglicher Bereiche zurückgreift.
  • Die Verarbeitung betrifft vertrauliche oder höchst persönliche Daten, wobei hier besonders auf Daten des Artikel 9 sowie 10 hingewiesen wird.
  • Die Verarbeitung findet im großen Umfang statt, wobei es hier auf Faktoren wie die Zahl der Betroffenen, verarbeitete Datenmenge, Verarbeitungsdauer sowie geografisches Ausmaß ankommt.
  • Das Abgleichen oder Zusammenführen von Datensätzen, wobei dies über die vernünftige Erwartung der Betroffenen hinausgeht.
  • Die Verarbeitung betrifft schutzbedürftige Personen, wie bspw. Kinder, Arbeitnehmer, Senioren, Psychisch Kranke, Asylwerber, Patienten, bei denen ein ungleiches Verhältnis zwischen den jeweiligen Stellungen vorliegt.
  • Es kommt zu einer Anwendung oder innovativer Nutzung neuer technologischer oder organisatorischer Lösungen, wie bspw. biometrische Schlösser.
  • Die Verarbeitung kann Betroffene an der Ausübung von Rechten oder der Nutzung von Dienstleistungen hindern.

Sollten zwei diese Punkte erfüllt sein, so bedarf es einer Datenschutz Folgeabschätzung.


Whitelist

Wie bereits oben erwähnt gibt es jedoch eine sogenannte Whitelist, wo Verarbeitungsvorgänge angeführt werden, welche keiner Datenschutz Folgeabschätzung  (DSFA) bedürfen.

Hierzu zählen solche Vorgänge, welche nach dem DSG 2000 keiner Meldepflicht unterlagen. Dies sind Vorgänge, welche

  • ausschließlich veröffentlichte Daten enthalten oder
  • die Führung von Registern oder Verzeichnissen zum Inhalt haben, die von Gesetzes wegen öffentlich einsehbar sind, sei es auch nur bei Nachweis eines berechtigten Interesses oder
  • nur indirekt personenbezogene Daten enthalten oder
  • von natürlichen Personen ausschließlich für persönliche oder familiäre Tätigkeiten vorgenommen werden oder
  • für publizistische Tätigkeit vorgenommen werden oder
  • einer Standardanwendung entsprechen

Darüber hinaus sind auch jene Vorgänge von einer DSFA ausgenommen, von denen bereits bei der Eintragung eine Vorabprüfung vorgenommen wurde. Diese Vorabprüfung ist eine Voraussetzung, es lässt sich aber nicht der Umkehrschluss treffen, dass alle Vorgänge, die einer Vorabprüfung bedurften, einer DSFA unterliegen.


Zusätzlich bedürfen folgende Prozesse keiner DSFA:

  • DSFA-A01: Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • DSFA-A02: Personalverwaltung
  • DSFA-A03: Mitgliederverwaltung
  • DSFA-A04: Kundenbetreuung und Marketing für eigene Zwecke
  • DSFA-A05: Sach- und Inventarverwaltung
  • DSFA-A06: Register, Evidenzen, Bücher
  • DSFA-A07: Zugriffsverwaltung für EDV-Systeme
  • DSFA-A08: Zutrittskontrollsysteme
  • DSFA-A09: Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
  • DSFA-A10: Bild- und Akustikdatenverarbeitung in Echtzeit
  • DSFA-A11: Bild- und Akustikverarbeitungen zu Dokumentationszwecken
  • DSFA-A12: Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken
  • DSFA-A13: Rechts- und Beratungsberufe
  • DSFA-A14: Archivierung, wissenschaftliche Forschung und Statistik
  • DSFA-A15: Unterstützungsbekundungen
  • DSFA-A16: Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
  • DSFA-A17: Öffentliche Abgabenverwaltung
  • DSFA-A18: Förderverwaltung
  • DSFA-A19: Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
  • DSFA-A20: Aktenverwaltung (Büroautomation) und Verfahrensführung
  • DSFA-A21: Organisation von Veranstaltungen
  • DSFA-A22: Preise und Ehrungen

Blacklist

Wie die Whitelist enthält auch die Blacklist eine Reihe von Verarbeitungsvorgängen. Im Gegensatz zur Whitelist bedürfen die der Blacklist jedoch unbedingt einer DSFA.

In dem Entwurf der Blacklist werden diejenigen Verarbeitungstätigkeiten angeführt, welche einer DSFA unbedingt bedürfen:

  • Bewertungen oder Einstufungen, insbesondere das Erstellen von Profilen und Prognosen, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interesse, Zuverlässigkeit oder Verhalten, den Aufenthaltsort oder Ortswechsel betreffen und negative Auswirkungen auf den Betroffenen haben können.
  • Verarbeitung, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von natürlicher Personen dienen und von Dritten dazu genutzt werden können, automatisierte Entscheidungsfindungen zu treffen, die Rechtswirkung gegenüber den Betroffenen zu entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen.
  • Eine systematische Überwachung, wobei die Überwachung auf von Netzwerken erfasste Daten oder auf eine systematische Überwachung öffentlich zugänglicher Bereiche, Kirchen, Gebetshäuser und ähnlichen Einrichtungen zurückgreift. Hier ist insbesondere Bild und Akkustiküberwachung zu erwähnen.
  • Die Verarbeitung beruht auf neuartiger Technologie oder einer organischen Lösung, wobei die Auswirkungen schwer abzuschätzen sind. Hier ist die Verarbeitung biometrischer Daten oder Verarbeitung durch eine künstliche Intelligenz anzuführen.
  • Verarbeitungsvorgänge nach Art. 26 DSGVO
  • Zusammenführen oder Abgleich von Datensätzen aus mehreren Verarbeitungen, die zu unterschiedlichen Zwecken oder Verantwortlichen durchgeführt wurden, wobei diese Verarbeitung üblicherweise über die Erwartung des Betroffenen hinausgeht, und entweder nicht alle Daten direkt beim Betroffenen selbst erhoben wurden oder die Verarbeitung mittels Algorithmen erfolgen, welche den Betroffenen erheblich beeinträchtigt.
  • Verarbeitung im höchstpersönlichen Bereich, auch mit Zustimmung. Bei Personal kann hier durch Betriebsvereinbarung oder Zustimmung der Personalvertretung eine DSFA unterbleiben.
  • Verarbeitung, welche zwei der folgenden Punkte erfüllt:
    • Verarbeitung von sensiblen Daten des Art. 9 Daten
    • Verarbeitung von strafrechtlichen Daten des Art. 10 Daten
    • Erfassung von Standortdaten
    • Die Verarbeitung betrifft schutzbedürftige Personen, wie bspw. Kinder, Arbeitnehmer, Senioren, Psychisch Kranke, Asylwerber, Patienten, bei denen ein ungleiches Verhältnis zwischen den jeweiligen Stellungen vorliegt.


Wie sieht eine Datenschutz-Folgeabschätzung aus


Die gesamte DSFA sollte in einem eigenem Dokument, oder einem eigenen Programm festgehalten werden, falls für mehrere Prozesse eine DSFA notwendig ist.

Als erster Schritt müssen der Verantwortliche den Rat des Datenschutzbeauftragten einholen, sofern ein solcher existiert. Dieser Rat ist in der Dokumentation festzuhalten.

Sollte die Verarbeitung von einem Auftragsverarbeiter vorgenommen werden, so hat dieser den Verantwortlichen bei der Durchführung der DSFA zu unterstützen. Auch diese Unterstützung ist in geeigneter Weise zu dokumentieren.

Der Verantwortliche hat von den betroffenen Personen, oder deren Vertreter deren Standpunkt einzuholen, wie diese zu der Verarbeitung stehen. Die bereits erteilte Zustimmung der Betroffenen ist nicht als solcher Standpunkt zu sehen.

Sollte der Verantwortliche von diesem Standpunkt abweichen, oder überhaupt keinen Standpunkt einholen, ist dies zu begründen. Das Einholen des Betroffenenstandpunktes kann bspw. bei Unverhältnismäßigkeit oder auch bei Geheimhaltungspflichten unterbleiben.

Anschließend kann mit der eigentlichen DSFA begonnen werden.

Als erster Punkt der DSFA hat eine Beschreibung des geplanten Verarbeitungsvorganges und die Zwecke der Verarbeitung zu erfolgen. Es folgt eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge. Anschließend müssen die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet werden.

Die Risikobeurteilung sollte für folgende drei Bereiche erstellt werden:

  • Datenverlust
  • Veränderung von Daten
  • Unrechtmäßiger Zugriff auf Daten

Für jeden dieser drei Bereiche wird im nächsten Schritt die Eintrittswahrscheinlichkeit festgestellt. Für die Beurteilung der Eintrittswahrscheinlichkeit sind auch alle technischen und organisatorischen Maßnahmen miteinzubeziehen und zu dokumentieren, die für den Schutz der personenbezogenen Daten getroffen werden. Je mehr Maßnahmen getroffen wurden, desto niedriger wird die Eintrittswahrscheinlichkeit einzustufen sein. Als Beispiele für Maßnahmen können hier Mitarbeiterschulungen, Verschlüsselungen, Zutrittskontrollen usw. angeführt werden.

Nach der Einstufung der Eintrittswahrscheinlichkeit muss das potenziell mögliche Schadensausmaß der drei Bereiche bestimmt werden. Dieses kann von einfachen Unannehmlichkeiten (wie Spammails oder Werbung) bis hin zu schwerwiegenden Folgen (Verlust des Arbeitsplatzes, finanzieller Ruin, körperliche Verletzung von Personen) reichen.

Sobald Schadensausmaß und Eintrittswahrscheinlicht festgestellt wurden, muss man die beiden Werte in einer Risikomatrix in Relation stellen. Aus dieser Matrix lässt sich herauslesen, ob weitere Maßnahmen geplant werden müssen um die Risiken auf ein vertretbares Niveau zu senken, oder ob die aktuell vorhandenen Maßnahmen ausreichend sind.
Sollte es keine Maßnahmen geben, um die Risiken auf ein solches Niveau zu reduzieren, so muss die Aufsichtsbehörde verständigt werden. Es ist zu beachten, dass das Risikomanagement auch die regelmäßige Überprüfung beinhaltet, ob die Maßnahmen auch umgesetzt werden. Die DSFA ist somit kein einmaliges Ereignis, sondern ist über einen längeren Zeitraum zu erstrecken, bis man zu der Bewertung kommt, dass kein hohes Risiko mehr vorliegt.