DSFA – wann ist eine Datenschutz-Folgenabschätzung nötig?

Die DSFA ist eine Anforderung aus der DSGVO. Komplett neu ist dieses Instrument allerdings nicht, denn bereits das frühere deutsche Datenschutzrecht sah eine sogenannte Vorabkontrolle vor (§ 4d Abs. 5 BDSG). Im Prinzip handelt es sich bei der DSFA und der Vorabkontrolle um den gleichen Vorgang: In besonders sensiblen Fällen einer Datenverarbeitung soll im Vorfeld das Risiko dieser Verarbeitung evaluiert werden, um Abhilfemaßnahmen zu dessen Eindämmung zu schaffen.

DSFA – was ist das?

Zuständig für die Prüfung und gegebenenfalls Durchführung der DSFA ist der Verantwortliche und nicht, wie vielfach angenommen, der Datenschutzbeauftragte des Unternehmens. Viele Unternehmer sind sich unsicher, was eine Datenschutz-Folgenabschätzung genau ist und wie diese durchzuführen ist.

Wie in vielen Fällen hilft hier ein Blick ins Gesetz: Art. 35 Abs. 2 der DSGVO legt bestimmte Mindestanforderungen an den Inhalt einer DSFA fest. Eine solche Abschätzung muss demnach die folgenden Punkte enthalten:

• eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, welche in der geplanten Verarbeitung betroffen sind
• eine Bewertung der Notwendigkeit sowie der Verhältnismäßigkeit dieser Vorgänge
• eine Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der Betroffenen
• die Abhilfemaßnahmen, die zur Bewältigung der oben genannten Risiken getroffen werden
• Insgesamt dient die Datenschutz-Folgenabschätzung also der Vorsorge: Noch bevor es zu einer Datenpanne kommen kann, soll das Risiko einer solchen so gut wie möglich minimiert werden.

Wann ist eine DSFA durchzuführen?

Die Frage, ab wann genau eine Folgenabschätzung notwendig ist, treibt wohl viele Datenschutz-Verantwortliche um. Die Einschätzung einer geplanten Datenverarbeitung im Hinblick auf den Datenschutz kann schließlich ausgesprochen komplex sein. Art. 35 Abs. 1 der DSGVO legt hier Folgendes fest:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.Art. 35 Abs. 1 DSGVO

In Abs. 3 folgen dann Regelbeispiele, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies ist in den folgenden Fällen notwendig:

1.    systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
2.    umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
3.    systematische umfangreiche Überwachung öffentlich zugänglicher BereicheArt. 35 Abs. 3 DSGVO

Wie kann die Datenschutz-Folgenabschätzung durchgeführt werden?

Vor der Durchführung der DSFA kann es ratsam sein, diese in 3 Phasen einzuteilen:

• Vorbereitungsphase: Im ersten Schritt werden der Prüfgegenstand definiert, die Rechtsgrundlagen bestimmt und die Akteure festgelegt.
• Bewertungsphase: Das Risiko kann im zweiten Schritt nach dem Standard-Datenschutzmodell oder entsprechend einer Risikoanalyse bewertet werden.
• Maßnahmenphase: Abschließend werden Schutzmaßnahmen zur Vermeidung oder Minderung von Beeinträchtigungen von Rechten und Freiheiten ergriffen. Zudem werden der Verantwortliche und Zeitplan der Umsetzung festgelegt.

Hierbei sind die Ergebnisse der Vorbereitungs-, Bewertungs- und Maßnahmenphase zu dokumentieren.

Neue Gesetzgebung erfordert häufiger Durchführung der DSFA

Die Beispiele im Gesetzestext machen deutlich: Eine DSFA nach DSGVO muss weitaus häufiger durchgeführt werden als die Vorabkontrolle nach dem BDSG-alt. Dies kann zunächst einmal für Verwirrung bei den Verantwortlichen sorgen, denn längst nicht in jedem Fall lässt sich sofort klar erkennen, ob eine DSFA nun erforderlich ist oder nicht.

Doch die DSGVO hat für diese Problematik eine Lösung parat: Art. 35 Abs. 4 legt fest, dass die Aufsichtsbehörden dafür zuständig sind, im Rahmen ihres Zuständigkeitsbereichs eine Liste derjenigen Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.

Die Positivliste der Datenschutzkonferenz – Hilfestellung für Unternehmen

Im Juli 2018 hat die Datenschutzkonferenz¹ eine Positivliste herausgegeben, auf welcher Verarbeitungstätigkeiten verzeichnet sind, welche eine DSFA erfordern. Insgesamt umfasst die Positivliste 16 Verarbeitungstätigkeiten, unter anderem etwa die beiden folgenden:

• umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen
• Erstellung umfassender Nutzerprofile in sozialen Netzwerken oder Dating-Portalen

Die vollständige Positivliste der DSK finden Sie hier. Alles in allem ist sie weitgehend deckungsgleich mit den bereits veröffentlichten DSFA-Positivlisten der einzelnen Aufsichtsbehörden der Länder.

¹ Bei der Datenschutzkonferenz (DSK) handelt es sich um einen Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie gilt als Empfehlungsorgan im Datenschutz. Die Tagungen der DSK finden zwei Mal im Jahr statt.