How to „Datenschutz-Folgenabschätzung“

Ausnahmslos jedes Unternehmen, ob Mittelstand oder Großkonzern, muss sich regelmäßig die Frage stellen, wie eine wirksame Datenschutz-Compliance sichergestellt werden kann. Neben allgemein bekannten Begrifflichkeiten wie den Datenschutzhinweisen oder dem sog. Verarbeitungsverzeichnis, kann insbesondere die Datenschutz-Folgenabschätzung als ein wirksames Instrument zur umfassenden Bewertung eines bestimmten Datenverarbeitungsvorgangs angesehen werden.

Obgleich eine Vielzahl an Prozessen letztlich einer Datenschutz-Folgenabschätzung zu unterziehen ist, stoßen wir in unserer Beratungspraxis erstaunlich häufig auf Probleme, Fehlvorstellungen und Schwierigkeiten beim Umgang mit diesem Verfahren. Dies hängt mitunter damit zusammen, dass vielen Unternehmen nicht wirklich bewusst ist, welche Informationen eine Datenschutz-Folgenabschätzung tatsächlich abbilden muss. Zudem sollte darauf geachtet werden, dass die jeweiligen Ausführungen - trotz der technischen Komplexität einiger Verfahren - für den Leser (ggf. auch die Aufsichtsbehörde) verständlich bleiben. Um Ihnen insoweit eine erste „Stütze“ zur Verfügung zu stellen, sollen die wichtigsten Aspekte nachfolgend aufgezeigt werden.

Die Fakten

Art. 35 Abs. 1 der Datenschutz-Grundverordnung (DS-GVO) sieht für bestimmte „Formen der Verarbeitung“, welche aufgrund der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, die Durchführung einer Datenschutz-Folgenabschätzung vor. Obgleich eine Risikobewertung stets anhand sämtlicher Umstände des Einzelfalls zu erfolgen hat, existieren einige Hilfestellungen, welche eine entsprechende Bewertung ermöglichen.

So sind zunächst in Art. 35 Abs. 3 DS-GVO verschiedene Fälle aufgelistet, in denen eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies betrifft bspw. die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (klassisches Beispiel: Videoüberwachung). Wie sich dem Wortlaut der Norm entnehmen lässt („insbesondere“) sind die explizit aufgezählten Fälle nicht abschließend. Daneben existiert eine sog. „Muss-Liste“ (vgl. Art. 35 Abs. 4 DS-GVO), in welcher die Datenschutzaufsichtsbehörden verbindlich die Durchführung einer Datenschutz-Folgenabschätzung vorschreiben. Die in diesem Kontext erarbeiteten Fallgruppen wurden dabei nicht „willkürlich“ bestimmt, sondern auf Basis von einigen vordefinierten „Risikokriterien“ aus Working-Paper 248 der Art.-29-Datenschutzgruppe entwickelt. Hierzu gehört bspw. die Datenverarbeitung in einem großen Umfang sowie die Verarbeitung vertraulicher oder höchst persönlicher Daten. Je mehr der jeweiligen „Risikofaktoren“ vorliegen, desto eher sollte eine Datenschutz-Folgenabschätzung durchgeführt werden.

Letztlich handelt es sich bei den einschlägigen Konstellationen regelmäßig um solche Anwendungsfelder, welche bereits nach dem gesunden „Bauchgefühl“ zu einem entsprechenden (hohen) Risiko für betroffene Personen führen (können). So liegt es auf der Hand, dass bspw. biometrische Kontrollsysteme, Videoüberwachungsanlagen oder Krankenhausinformationssysteme mit der Durchführung einer Datenschutz-Folgenabschätzung verbunden sind.

Der Inhalt einer Datenschutz-Folgenabschätzung

Kommt eine verantwortliche Stelle also zu dem Ergebnis, dass eine Datenschutz-Folgenabschätzung durchzuführen ist, gibt Art. 35 Abs. 7 DS-GVO einige Punkte vor, welche zwingend abzubilden sind. Neben einer systematischen Beschreibung der geplanten Verarbeitungsvorgänge, müssen auch die dabei verfolgten Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie (als das „Herzstück“) eine Risikoanalyse nebst ergriffenen Abhilfemaßnahmen dargestellt werden.

Insbesondere die Sachverhaltsaufklärung und -darstellung ist dabei von zentraler Bedeutung. Die verantwortliche Stelle sollte insbesondere ermitteln, welche weiteren Beteiligten in den Datenverarbeitungsvorgang eingebunden sind (bspw. Auftragsverarbeiter), welchen „Lebenszyklus“ die jeweils betroffenen Daten durchlaufen, insbesondere welche Hard- und Softwarekomponenten (einschließlich weiterer Schnittstellen zu anderen Systemen) eingebunden werden, über welchen Zeitraum die Daten aufbewahrt werden und wer auf die Daten Zugriff hat, bzw. haben kann. Insbesondere vermeintlich „unwichtige“ Details, wie bspw. Support-Leistungen in Drittländern (bspw. im Falle von Remote-Zugriffen) können zu erheblichen datenschutzrechtlichen Risiken führen. Erst wenn u.a. die vorgenannten Umstände zweifelsfrei festgestellt wurden, kann beurteilt werden, welche Risiken bei dem jeweiligen Datenverarbeitungsvorgang real bestehen. Auch die Bestimmung einer datenschutzrechtlichen Rechtsgrundlage sowie die Bewertung, ob die Datenverarbeitung notwendig und verhältnismäßig ist, bedarf einer lückenlosen Sachverhaltsaufklärung.

Die Risikobewertung

Ein Risiko bemisst sich aus dem Verhältnis zwischen der Schwere eines (denkbaren) Schadens und dessen Eintrittswahrscheinlichkeit. Zur Bewertung der real bestehenden Risiken, kann sich ein Unternehmen insbesondere an der eigens hierfür geschaffenen Matrix der Datenschutzkonferenz in Kurzpapier Nr. 18 orientieren.

In dem angeführten Kurzpapier wird unter einem Risiko „das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann“, verstanden. Gemäß Erwägungsgrund 75 der DS-GVO sind hierbei psychische, materielle und immaterielle Schäden denkbar.

Zunächst muss daher maßgeblich auf die zu erwartenden Schadenspositionen abgestellt werden. Erwägungsgrund 85 der DS-GVO nennt dabei typische Fallgruppen: Verlust der Kontrolle über die eigenen Daten, Einschränkung von Rechten, Diskriminierung, Identitätsdiebstahl oder -betrug, Finanzielle Verluste, Aufhebung der Pseudonymisierung, Rufschädigung, Verletzung des Berufsgeheimnisses oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Betrachtet man die einzelnen (nicht abschließenden) Schadenspositionen, so muss neben deren Schwere auch im Einzelfall überprüft werden, mit welcher Eintrittswahrscheinlichkeit insgesamt zu rechnen ist. In diesem Kontext muss insbesondere abgeklärt werden, welche denkbaren Ursachen existieren, die zu einem entsprechenden Schaden führen können. Hier gibt es eine Vielzahl denkbarer Fallkonstellationen, zu denen bspw. Hacking-Angriffe, der (interne) missbräuchliche Umgang mit den Daten oder Schwächen in der Systemqualität gehören können. Um eine effiziente Bewertung der Eintrittswahrscheinlichkeit zu ermöglichen, müssen zudem auch bereits ergriffene sowie vorgesehene technische und organisatorische Maßnahmen im Sinne des Art. 32 Abs. 1 DS-GVO berücksichtigt werden.

Schaut man sich die vorgenannten Kriterien gründlich an, so kommt man schnell zu dem Ergebnis, dass die Durchführung einer Datenschutz-Folgenabschätzung keine einfache Aufgabe darstellt und eine Vielzahl an Faktoren beachtet werden müssen. Andererseits muss jedoch ebenfalls berücksichtigt werden, dass das jeweilige Dokument nicht „überfrachtet“ wird und für den Leser verständlich bleibt.

Methodische Vorgehensweise als wirksame Stütze

Um an dieser Stelle etwas „Licht ins Dunkel“ zu bringen, können wir Sie zunächst beruhigen. Mit der richtigen Planung und Vorgehensweise lässt sich eine Datenschutz-Folgenabschätzung effizient durchführen. So haben wir auf Basis unserer Erfahrungen u.a. in der Automobilbranche sowie im Gesundheitssektor wirksame Methoden entwickelt, die der Aufklärung des maßgeblichen Sachverhalts dienen und hierbei die klassischen Fragestellungen berücksichtigen. Auch für die jeweiligen Rechtsfragen können wir auf eine Vielzahl an Muster-Dokumenten, Legal-Tech-Anwendungen und Erfahrungswerten zurückgreifen. Wird eine Datenschutz-Folgenabschätzung richtig geplant und im Anschluss effektiv durchgeführt, kann auch der eine oder andere Stolperstein in der Datenschutz-Compliance behoben und einer praktikablen Lösung zugeführt werden.

Gerne sind wir Ihnen hierbei behilflich.