Unternehmen sind dazu verpflichtet, den Datenschutz und etwaige Datenschutzgesetze, wie die Datenschutz-Grundverordnung, beim Umgang mit personenbezogenen Daten einzuhalten. Ein wichtiges Instrument für Verantwortliche im Datenschutz ist die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (kurz DSFA), zum Zwecke des Schutzes personenbezogener Daten und zum Schutz der Rechte und Freiheiten von betroffenen Personen.
Erfahren Sie in diesem Artikel mehr über den Zweck einer Datenschutz-Folgenabschätzung, über die Notwendigkeit der Durchführung einer DSFA bei bestimmten Verarbeitungsvorgängen einschließlich der Vorgehensweise und Beispiele aus der Praxis, und erhalten Sie ein Datenschutz-Folgenabschätzung Muster, welches Sie kostenfrei herunterladen und nutzen können.
Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung (DSFA) ist nichts anderes als eine Risikobewertung. Es handelt sich um ein Instrument im Datenschutz, mit dem geprüft werden kann, ob eine Verarbeitung von personenbezogenen Daten im Unternehmen ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Hierzu erfolgt eine detaillierte Beschreibung und Bewertung der Vorgänge, bei denen personenbezogene Daten verarbeitet werden sollen, einschließlich der Zwecke der Verarbeitung. Anschließend werden die Risiken geprüft und es werden Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten getroffen. Datenschutz-Folgenabschätzungen erfüllen damit auch den Zweck, Datenschutzverstöße wegen unzulässiger Verarbeitungsvorgänge zu verhindern und den Datenschutz im Betrieb zu gewährleisten.
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Eine Datenschutz-Folgenabschätzung ist immer dann notwendig, wenn ein Unternehmen ein Verfahren zur Datenverarbeitung einführen möchte, welches voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Unter bestimmten Umständen ist eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen. Das ist der Fall, wenn die DSGVO dies bereits per Gesetz fordert und/oder wenn eine Verarbeitungstätigkeit in einer sogenannten „Blacklist“ einer Aufsichtsbehörde aufgeführt ist.
Gesetzliche Bestimmungen zur Durchführung einer Datenschutz-Folgenabschätzung
Der Art. 35 Abs. 3 DSGVO erfordert in folgenden drei Fällen immer die Durchführung einer DSFA:
a) „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen"
Beispiele für automatisierte Verarbeitungsvorgänge, die einer Risikoanalyse / DSFA bedürfen
1. Talentmanagement-System eines Unternehmens
Bei dieser Datenverarbeitung werden Daten über die Leistungen und das Verhalten der Mitarbeiter automatisch erfasst und ausgewertet, um Entscheidungen über Beförderungen, Gehaltserhöhungen und Weiterbildungen zu treffen. Das Talentmanagement-System kann etwa die Arbeitsqualität anhand von KPIs (Key Performance Indicators) bewerten, die auf individuelle Arbeitsziele und Unternehmensziele abgestimmt sind. Dies stellt eine automatisierte Datenverarbeitung dar und unterliegt damit der gesetzlichen Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung. Es muss entschieden werden, ob bei dieser Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entsteht.
2. Bewertung durch Kredit-Scores
Kredit-Scores sind Bewertungen, die von Finanzinstituten und Kreditgebern verwendet werden, um die Kreditwürdigkeit von potenziellen Kreditnehmern zu bewerten. Die Bewertung erfolgt anhand verschiedener Kriterien wie Zahlungsverhalten, Verschuldungsgrad, Beschäftigungsgeschichte und Bonität. Diese Daten werden automatisch aus verschiedenen Quellen gesammelt und bewertet, um einen Kredit-Score für den Kreditnehmer zu erstellen. Auch hierbei handelt es sich um eine automatisierte Datenverarbeitung, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss.
Kredit-Scores sind Bewertungen, die von Finanzinstituten und Kreditgebern verwendet werden, um die Kreditwürdigkeit von potenziellen Kreditnehmern zu bewerten. Die Bewertung erfolgt anhand verschiedener Kriterien wie Zahlungsverhalten, Verschuldungsgrad, Beschäftigungsgeschichte und Bonität.
Diese Daten werden automatisch aus verschiedenen Quellen gesammelt und bewertet, um einen Kredit-Score für den Kreditnehmer zu erstellen. Auch hierbei handelt es sich um eine automatisierte Datenverarbeitung, für die eine Datenschutz-Folgenabschätzung durchgeführt werden muss.
Die DSGVO erfordert die Datenschutz-Folgenabschätzung außerdem unter den folgenden Umständen:
b) „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10"
Beispiele für Verarbeitungen sensibler Daten, die eine Datenschutz-Folgenabschätzung erfordern
1. Verarbeitung von Gesundheitsdaten im Rahmen der medizinischen Forschung
Ein Unternehmen, das auf medizinische Forschung spezialisiert ist, könnte umfangreiche Verarbeitungen von Gesundheitsdaten durchführen, um neue Medikamente und Therapien zu entwickeln. Diese Verarbeitungen können auch die Verwendung von genetischen Informationen und anderen sensiblen Daten umfassen. Dieser Prozess der Datenverarbeitung bedarf einer Risikoanalyse mit einer Folgenabschätzung, um die Risiken für die Rechte und Freiheiten der betroffenen Personen abzuschätzen.
2. Verarbeitung von Gesundheitsdaten und Vorstrafenregistern durch eine Versicherung
Eine Versicherung benötigt in der Regel (z. B. im Rahmen von Kranken- oder Lebensversicherungen) umfangreiche Informationen über den Gesundheitszustand und Vorerkrankungen ihrer Kunden, um eine Bewertung der Risiken durchführen und die Prämienhöhe festlegen zu können. Hierbei handelt es sich um besondere Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1. Zusätzlich benötigt eine Versicherung ggf. Informationen über strafrechtliche Verurteilungen und Straftaten, da diese Einfluss auf die Risikoanalyse haben können. Hierbei handelt es sich um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO. Im Sinne des Datenschutzes muss die verantwortliche Stelle eine DSFA für diese Fälle der Verarbeitung durchführen.
Und die DSGVO führt noch einen dritten Fall auf, der auf jeden Fall eine Datenschutz-Folgenabschätzung erfordert:
c) „systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche"
Durchführung einer Datenschutz-Folgenabschätzung ohne gesetzliche Verpflichtung
Die Durchführung einer DSFA kann jedoch auch sinnvoll sein, wenn es keine gesetzliche Verpflichtung hierfür gibt, z. B. um:
die Einhaltung der geltenden Gesetze und Vorschriften innerhalb des Unternehmens bewerten zu können,
Risiken zu erkennen und zu minimieren,
zu wissen, wo persönliche Daten gespeichert sind und mit wem diese ggf. geteilt werden.
Listen der Aufsichtsbehörden („Blacklists“)
Die Aufsichtsbehörden im Datenschutz veröffentlichen sogenannte „Blacklists“. In diesen Listen werden bestimmte Verarbeitungsvorgänge aufgeführt, die nach Auffassung der Behörden immer eine Datenschutz-Folgenabschätzung erfordern.
Die Blacklists der Aufsichtsbehörden sind leider nicht hundertprozentig untereinander abgestimmt. So kann es vorkommen, dass bei jeder Landesdatenschutzbehörde unterschiedliche Verfahren zwingend einer Datenschutz-Folgenabschätzung unterliegen.
Unternehmen sollten sich grundsätzlich immer an den Empfehlungen der Landesdatenschutzbehörde orientieren, die für sie zuständig ist. Das ist in der Regel die Landesbehörde, in deren Bundesland das Unternehmen seinen Hauptsitz hat.
Zusätzlich zu den allgemeinen Listen des Bundesbeauftragten für den Datenschutz und die Informationssicherheit (BfDI) und der Liste der Datenschutzkonferenz (DSK) veröffentlichen die jeweiligen Landesbehörden eigene Listen mit Verarbeitungsvorgängen, die einer DSFA unterliegen. Im Folgenden haben wir für Sie eine Übersicht mit den jeweiligen Listen der Datenschutzbehörden zusammengestellt.
Listen der Datenschutzbehörden mit Verarbeitungsvorgängen,
für die eine DSFA durchzuführen ist
Hier geht es zur Liste für den nicht-öffentlichen Beriech für Baden-Württemberg.
Die bayerische Datenschutzbehörde verweist auf die Liste der DSK.
Hier finden Sie die Liste der Datenschutzbehörde Berlin für den nicht-öffentlichen Bereich.
Die Behörde in Brandenburg veröffentlichte eine allgemeine Liste für den öffentlichen und den nicht-öffentlichen Bereich.
Die Liste für den nicht-öffentlichen Bereich von Bremen können Sie sich hier herunterladen.
Hier geht es zur Liste für den nicht-öffentlichen Beriech von Hamburg.
Die hessische Datenschutzbehörde verweist ebenfalls auf die Liste der DSK.
Die Datenschutzbehörde von Mecklenburg-Vorpommern veröffentlichte diese eigene Liste für den öffentlichen Bereich und verweist für den nicht-öffentlichen Bereich auf die DSK.
Auch die Datenschutzbehörde von Niedersachsen hat keine eigene Liste, sondern verweist auf die Hilfestellung der DSK.
Die Datenschutzbehörde Nordrhein-Westfalen stellt diese Liste des LDI NRW für den öffentlichen Bereich zur Verfügung.
Hier finden Sie die Liste für den öffentlichen Bereich von der Behörde für Rheinland-Pfalz.
Die Datenschutzbehörde im Saarland verweist lediglich auf das offizielle Kurzpapier der DSK.
Hier geht es zur allgemeinen Liste der Behörde von Sachsen für den öffentlichen und nicht-öffentlichen Bereich.
Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt veröffentlichte eine Liste für den öffentlichen Bereich.
Die Datenschutzbehörde in Schleswig-Holstein veröffentlichte eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich,
Auch hier gibt es eine allgemeine Liste für den öffentlichen und nicht-öffentlichen Bereich des Thüringer Landesbeauftragten für Datenschutz.
Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?
Folgende Schritte sollten bei der Durchführung einer Datenschutzfolgenabschätzung vorgenommen werden:
Sollte das Unternehmen nach der Durchführung einer Datenschutz-Folgenabschätzung zu dem Schluss kommen, dass die Verarbeitung nicht wie geplant durchgeführt werden kann, weil der Einsatz der Verarbeitung ein zu hohes Risiko für die Betroffenen darstellt, hat es die Möglichkeit, durch die Nachbesserung der technisch und organisatorischen Maßnahmen eine Verarbeitung so aufzustellen, dass die getroffenen Sicherheitsmaßnahmen dem Risiko angemessen sind und die Verarbeitung somit doch durchgeführt werden kann. Denn durch die Sicherheitsmaßnahmen kann das Risiko für die Betroffenen auf ein niedriges Niveau heruntergeschraubt werden.
Eine solche Nachprüfung bzw. Nachbesserung zur Minderung des Risikos erklären wir Ihnen im Folgenden anhand eines Praxisbeispiels.
Datenschutz-Folgenabschätzung Beispiel anhand der Videoüberwachung
Ein Unternehmen möchte eine Videoüberwachung installieren. Hierzu beauftragt es einen Dienstleister, welcher die Kameras installiert und anbringt. Der Datenschutzbeauftragte des Unternehmens nimmt beim Vor-Ort-Termin die Besichtigung der Kameras vor, um eine DSFA zu erstellen. Dabei fällt ihm auf, dass zwei Kameras nicht nur das Gelände des eigenen Unternehmens, sondern auch den öffentlichen Gehweg aufnehmen. Angesichts dessen kommt der DSB zu einem negativen Ergebnis bei der DSFA und wendet sich an den Dienstleister, welcher die Kameras angebracht hat. Der DSB empfiehlt, die Kameras, die den öffentlichen Bereich filmen, so einzustellen oder zu verpixeln, dass der öffentliche Bereich auf den Bildern nicht mehr zu sehen ist.
Ein Unternehmen möchte eine Videoüberwachung installieren. Hierzu beauftragt es einen Dienstleister, welcher die Kameras installiert und anbringt. Der Datenschutzbeauftragte des Unternehmens nimmt beim Vor-Ort-Termin die Besichtigung der Kameras vor, um eine DSFA zu erstellen. Dabei fällt ihm auf, dass zwei Kameras nicht nur das Gelände des eigenen Unternehmens, sondern auch den öffentlichen Gehweg aufnehmen.
Angesichts dessen kommt der DSB zu einem negativen Ergebnis bei der DSFA und wendet sich an den Dienstleister, welcher die Kameras angebracht hat. Der DSB empfiehlt, die Kameras, die den öffentlichen Bereich filmen, so einzustellen oder zu verpixeln, dass der öffentliche Bereich auf den Bildern nicht mehr zu sehen ist.
Nach Umsetzung der technischen Maßnahmen führt der DSB die DSFA erneut durch und kommt zu dem Ergebnis, dass nun infolge der Nachbesserung keine hohen Risiken für natürliche Personen entstehen. In der Folge kann die Videoüberwachung jetzt wie geplant eingesetzt werden.
Datenschutz-Folgenabschätzung Muster
Hier haben Sie die Möglichkeit, ein Muster einer Datenschutz-Folgenabschätzung gemäß Art. 35 Datenschutz-Grundverordnung kostenfrei herunterzuladen und zu nutzen. Mit dem Muster können Sie Datenschutz-Folgenabschätzungen für alle Verarbeitungsvorgänge in Ihrem Unternehmen erstellen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen. Zum Datenschutz-Folgenabschätzung Muster:
Fazit
Sollten Sie sich nicht sicher sein, ob Ihre Verarbeitungstätigkeit ein hohes Risiko darstellen könnte und einer DSFA unterliegt, empfiehlt es sich, entweder auf der Seite der jeweiligen Landesdatenschutzbehörde in die Liste der einer DSFA erforderlichen Tätigkeiten zu schauen oder sich an Ihren Datenschutzbeauftragten zu wenden.
Bei Fragen zur DSFA oder bei Unterstützungsbedarf wenden Sie sich gerne direkt an uns und nehmen Sie Kontakt über unsere Website auf. Wir unterstützen Sie gerne und helfen Ihnen dabei, eine Datenschutz-Folgenabschätzung durchzuführen.
Sven Brodermanns