Ein zentraler Bestandteil der neuen EU-weiten Datenschutz-Grundverordnung (DSGVO) ist die Datenschutz-Folgenabschätzung. Sie ist elementar für das Risikomanagement von Unternehmen oder öffentlichen Stellen. Und sie dient in Zeiten der Digitalisierung auch als eine Art Frühwarnsystem für Mängel im Datenschutz. Wie ernst es die Europäische Union mit der Datenschutz-Folgenabschätzung (DSFA) meint, beweisen die neuen Bußgelder: Verstöße können mit bis zu vier Prozent oder 20 Millionen Euro des weltweiten Umsatzes einer Firma geahndet werden.
Laut DSGVO ist der „Verantwortliche“ im Unternehmen für die DSFA zuständig – in erster Linie sind das Geschäftsführer oder der Vorstand. Sie tragen die juristische Verantwortung für den korrekten Datenschutz. Außerdem heißt es in der DSGVO: „Der Verantwortliche holt bei der Durchführung einer Datenschutzfolgenabschätzung den Rat des Datenschutzbeauftragten ein.“ Das klingt recht harmlos, führt aber dazu, dass Datenschutzbeauftragte noch stärker in die Einführung oder Änderung von Datenverarbeitungsverfahren einbezogen werden müssen.
Rechte an Daten schützen: Ein Beispiel aus der Praxis
Grundsätzlich will die EU mit der neuen DSGVO die Rechte von Personen an ihren privaten Daten stärken. Dabei muss der oder die Datenschutzbeauftragte abschätzen, wie hoch das Risiko ist, dass die Daten in irgendeiner unrechtmäßigen Weise genutzt werden könnten. Der Gesetzgeber sieht das sehr streng. Da beinahe jedes Unternehmen und jede Behörde Daten erhebt, muss fast jeder eine Risikoabschätzung nach Artikel 35 der DSGVO vornehmen.
Beispiel Arztpraxis: Das Aufnehmen persönlicher Daten von Patienten ist üblich. „Deshalb ist auch hier eine Risikoabschätzung für die Datenverarbeitung notwendig“, sagt Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein. Ziel sei immer das Implementieren geeigneter Maßnahmen, um solche Risiken einzudämmen.
Bei übersichtlichen Verarbeitungssystemen kann eine DSFA schlank gehalten werden. Aufwändiger wird eine DSFA, wenn es sich um ein Krankenhaus mit vielen Abteilungen handelt. Denn dann muss geprüft werden, unter welchen Umständen und mit welchen Sicherheitsvorkehrungen beispielsweise ein Arzt die Daten eines Patienten an die Röntgenstation oder an die Sozialstation weiterleiten darf.
So sieht eine Datenschutz-Folgenabschätzung aus
Auch bisher prüften Datenschutzbeauftragte im Rahmen der Vorabkontrolle nach dem Bundesdatenschutzgesetz das Risiko beim Verarbeiten personenbezogener Daten. Mit der neuen EU-Verordnung ändert sich der Umfang der Aufgaben. Bislang umfasste der Gesetzestext zur Risikoprüfung der Daten nur wenige Absätze. Die DSFA hingegen besteht aus mehreren Seiten mit detaillierten Angaben und neuen Anforderungen, die umzusetzen sind.
Was aber ist in einer rechtmäßigen DSFA genau abgebildet? Zum Beispiel beschreibt sie, warum das Unternehmen ein berechtigtes Interesse an der Datenverarbeitung hat. Außerdem gibt sie an, welchen Zwecken diese dient und ob diese Zwecke notwendig und verhältnismäßig sind. Sie analysiert, wie groß die Risiken für die Rechte der betroffenen Personen sind. Überdies enthält sie Garantien, Sicherheitsvorkehrungen und Verfahren zur Bewältigung der Risiken.
Wann eine DSFA notwendig ist
Die sorgfältige Risikoprüfung ist besonders dann notwendig, wenn neue Technologien eingesetzt werden. Dazu zählt beispielsweise, wenn eine Chipkarte für den Zugang zu bestimmten Sicherheitsbereichen im Unternehmen durch RFID-Funktechnik ersetzt wird. Dabei stellt sich nämlich die Frage, ob mit der Veränderung höhere Risiken verbunden sind. Weitere Situationen, in denen eine DSFA vorgenommen werden muss:
- Videoüberwachung von öffentlichen Räumen, zum Beispiel im Eingangsbereich eines Unternehmens oder einer Behörde
- Big-Data-Projekte
- Profiling, also Verarbeitungsvorgänge, bei denen persönliche Daten systematisch auf bestimmte Kriterien hin ausgewertet werden.
Umfassend dokumentieren
Die Datenschutzfolgenabschätzung sollten Unternehmen und andere Organisationen umfassend dokumentieren. So belegen sie gegenüber Aufsichtsbehörden, dass sie die DSFA ordnungsgemäß durchgeführt haben. „Im Zweifelsfall sollte man die Aufsichtsbehörden kontaktieren“, rät Datenschutz-Expertin Hansen. „Das bietet angesichts der noch relativ jungen Thematik mehr Sicherheit bei der Umsetzung.“
Aber es reicht nicht aus, ein dem Risiko angemessenes Schutzniveau zu implementieren: Die DSGVO verlangt regelmäßiges Überprüfen, Bewerten und Evaluieren der Maßnahmen. „Das erreicht man am besten mit einem funktionierenden Risikomanagement“, sagt Marit Hansen. „Bei einem Antiviren-Programm reicht es ja auch nicht aus, es einmal auf den PC aufzuspielen: Man muss ständig prüfen, ob es Updates mit Verbesserungen gibt. Das gilt auch bei der DSFA.“
Die Aufsichtsbehörden werden nach Inkrafttreten der DSGVO am 25. Mai 2018 sicher weitere Präzisierungen und Ausführungen veröffentlichen, die dann beachtet werden müssen.
Mehr zu den Datenschutz-Seminaren der TÜV Nord Akademie gibt es auf der Website. Weitere Informationen zur Datenschutzfolgenabschätzung sind in einem Whitepaper des Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt mit Autoren vom Fraunhofer-Institut für System- und Innovationsforschung (Fraunhofer) ISI, vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein und von der Universität Kassel, Institut für Wirtschaftsrecht verfügbar.