Mit der DSGVO kommt auch die DSFA (Datenschutz-Folgenabschätzung)

Das (noch) unbekannte Wesen: DSFA (Datenschutz-Folgeabschätzung)
Keine Kommentare

Bei risikoreichen Verarbeitungen von personenbezogenen Daten muss ein förmliches Verfahren durchgeführt und gegebenenfalls die Datenschutzaufsichtsbehörde kontaktiert werden. Sogenannte Positiv- und Negativlisten können Unternehmen bei der Einschätzung, ob eine DSFA durchgeführt werden muss, helfen.

Die mit der EU-Datenschutz-Grundverordnung (DSGVO) neu eingeführte Datenschutz-Folgenabschätzung (DSFA) kommt immer dann ins Spiel, wenn eine Form der Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In diesem Fall muss die für die Datenverarbeitung verantwortliche Stelle vorab eine Einschätzung der möglichen Konsequenzen respektive Risiken durchführen, unter Umständen sind auch die Betroffenen und/oder die Datenschutzaufsichtsbehörde zu informieren. Die DSFA soll insbesondere bei der Verwendung von – für den Verantwortlichen – neuen Technologien notwendig werden. Wird also etwa eine Zeiterfassung neu im Unternehmen eingeführt, die mittels Fingerabdruck der Angestellten funktioniert, dann sollte hier vorab eine DSFA durchgeführt werden. Das ergibt sich durch das potenziell hohe Risiko für die betroffenen Personen, also die Mitarbeiter des Unternehmens. Die Risikoeinstufung orientiert sich an der Art, dem Umfang, den Umständen oder auch den Zwecken der Datenverarbeitung.

Ein eventuell existierender Datenschutzbeauftragter muss die DSFA nicht selbst durchführen, er wirkt hieran lediglich beratend und unterstützend mit. Die Hauptverantwortung liegt bei der Unternehmensführung.

Risikoeinstufung

Die nachfolgenden Kriterien sollen Unternehmen bei der Einschätzung der Höhe des Risikopotenzials helfen. Liegen mindestens zwei oder mehr der nachfolgenden Punkte hinsichtlich einer Verarbeitungstätigkeit vor, ist von einem hohen Risiko auszugehen:

  • Evaluierungs- oder Scoringmaßnahmen
  • Automatisierte Entscheidungen mit rechtlicher Relevanz oder ähnlicher Wirkung für den Betroffenen (Profiling)
  • Systematische Beobachtung von Betroffenen
  • Verarbeitung besonderer Kategorien personenbezogener Daten
  • In großem Umfang verarbeitete personenbezogene Daten
  • Abgleich beziehungsweise Kombination verschiedener Datensätze
  • Personenbezogene Daten verletzlicher Datensubjekte
  • Einsatz neuartiger Lösungen/Technologien
  • Übermittlung personenbezogener Daten in Drittstaaten
  • Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst/Vertrag zu nutzen

Anwendungsfälle

Nach Maßgabe von Art. 35 Abs. 3 DSGVO ist eine DSFA insbesondere bei einer systematischen und umfassenden Bewertung persönlicher Aspekte von Betroffenen notwendig, die auf automatisierter Verarbeitung, einschließlich des Profilings, basiert. Darüber hinaus ist eine DSFA erforderlich, wenn sie als Grundlage für Entscheidungen dient, die eine Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen, wie beispielsweise eine Scorewertberechnung durch die Schufa oder Ähnliches.

Eine DSFA ist bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten wie beispielsweise im Bereich der Arbeitsmedizin, des betrieblichen Eingliederungsmanagements (BEM) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (z. B. bei polizeilichen Führungszeugnissen) unausweichlich. Genauso verhält es sich bei einer systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche – beispielsweise durch Videokameras auf Bahnhöfen oder Flughäfen.

International PHP Conference

Migrating to PHP 7

by Stefan Priebsch (thePHP.cc)

A practical introduction to Kubernetes

by Robert Lemke (Flownative GmbH)

API Summit 2018

From Bad to Good – OpenID Connect/OAuth

mit Daniel Wagner (VERBUND) und Anton Kalcik (business.software.engineering)

Jedes Unternehmen, das Angestellte hat, verwaltet natürlich auch deren Daten, sogar zum Teil sensible Daten im Sinne von Art. 9 Abs. 1 DSGVO, wie beispielsweise Gesundheitsdaten oder die Religionszugehörigkeit. Hier kann man sich fragen, ob die Verwaltung von Personalakten schon eine umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten darstellt und folglich eine DSFA nach sich zieht. Und auch Angehörige freier Berufe, wie Rechtsanwälte, Ärzte oder Steuerberater, haben in der Regel mit solchen sensiblen Daten zu tun. Diesbezüglich finden sich Hinweise in Erwägungsgrund 91 der DSGVO:

„Die Verarbeitung […] sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Für einzelne Anwälte oder Ärzte sieht die DSGVO also ausdrücklich keine Pflicht zur Durchführung einer DSFA vor. Daraus lässt sich der Schluss ziehen, dass die etwa in der Personalabteilung eines „normalen“ Unternehmens vorkommende Datenverarbeitung wohl ebenfalls nicht unter die DSFA-Pflicht fällt. Denn hier erfolgt die Verarbeitung von Religion, Gesundheitsdaten oder Ähnlichem in aller Regel aufgrund einer bestehenden gesetzlichen Verpflichtung.

Positivlisten

Um gewisse Anhaltspunkte zu haben, bei welchen Verarbeitungstätigkeiten auf jeden Fall eine DSFA durchzuführen ist – respektive wann eine solche unterbleiben kann, sollen die Datenschutz-Aufsichtsbehörden sogenannte Positiv- beziehungsweise Negativlisten erstellen, pflegen und veröffentlichen. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, kurz: DSK) hat inzwischen eine für Deutschland gültige Positivliste herausgegeben. Darauf befinden sich die folgenden Verarbeitungsvorgänge:

  • Betrieb eines Insolvenzverzeichnisses
  • Träger von großen sozialen Einrichtungen
  • Große Anwaltssozietät
  • Fahrzeugdatenverarbeitung (Carsharing/Mobilitätsdienste/zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren)
  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. Ä.
  • Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
  • Fraud-Prevention-Systeme
  • Scoring durch Auskunfteien, Banken oder Versicherungen
  • Fahrzeugdatenverarbeitung – Umgebungssensoren
  • Betrieb von Bewertungsportalen
  • Inkassodienstleistungen (Forderungsmanagement/Factoring)
  • Einsatz von Data-Loss-Prevention-Systemen, die systematische Profile der Mitarbeiter erzeugen
  • Geolokalisierung von Beschäftigten
  • Betrieb von Dating- und Kontaktportalen
  • Betrieb von großen sozialen Netzwerken
  • Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
  • Kundensupport mittels künstlicher Intelligenz
  • Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
  • Telefongesprächauswertung mittels Algorithmen
  • Einsatz von RFID/NFC durch Apps oder Karten
  • Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten
  • Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO
  • Einsatz von Telemedizinlösungen zur detaillierten Bearbeitung von Krankheitsdaten
  • Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

Die genannten Datenverarbeitungen erfordern vor ihrer Realisierung im Unternehmen stets die Durchführung einer DSFA. Allerdings ist diese Liste nicht abschließend, sodass es auch andere Verarbeitungstätigkeiten geben kann, die nicht auf der Liste auftauchen, aber trotzdem nach Maßgabe von Art. 35 Abs. 1 DSGVO eine DSFA erfordern.

Negativlisten

Die Datenschutzaufsichtsbehörden in Deutschland haben sich dahingehend geäußert, dass es (derzeit) keine Negativlisten geben wird. Unser Nachbarland Österreich hat hingegen eine Liste mit solchen Verfahren herausgegeben, für die keine DSFA durchgeführt werden muss:

  • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • Personalverwaltung
  • Mitgliederverwaltung
  • Kundenbetreuung und Marketing für eigene Zwecke
  • Sach- und Inventarverwaltung
  • Register, Evidenzen, Bücher
  • Zugriffsverwaltung für EDV-Systeme
  • Zutrittskontrollsysteme
  • Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
  • Bild- und Akustikdatenverarbeitung in Echtzeit
  • Bild- und Akustikverarbeitungen zu Dokumentationszwecken
  • Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdienstanbieter und Apotheken
  • Rechts- und Beratungsberufe
  • Archivierung, wissenschaftliche Forschung und Statistik
  • Unterstützungsbekundungen
  • Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
  • Öffentliche Aufgabenverwaltung
  • Förderverwaltung
  • Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
  • Aktenverwaltung (Büroautomation) und Verfahrensführung
  • Organisation von Veranstaltungen
  • Preise und Ehrungen

Wie bereits erwähnt, gilt diese Liste nur für Österreich, allerdings gewährt sie einen ganz guten Überblick über solche Verarbeitungsvorgänge, die wohl auch hierzulande als wenig risikobehaftet eingestuft werden. 100 Prozent sicher ist das aber natürlich nicht.

Praxistipp

Generell muss jedes Unternehmen sich regelmäßig selbst überprüfen, ob es datenschutzkonform arbeitet und gegebenenfalls entsprechende Maßnahmen ergreifen. Ein stetiger Risikobewertungsprozess kann beispielsweise folgendermaßen ablaufen:

  • Identifizierung des Risikos
  • Analyse des erkannten Risikos
  • Bewertung des analysierten Risikos
  • Bewältigung des bewerteten Risikos
  • Überwachung des bewältigten Risikos

Formeller Rahmen

Die Dokumentation im Rahmen einer DSFA muss bestimmte Pflichtinhalte aufweisen (Art. 35 Abs. 7 DSGVO). Dabei handelt es sich unter anderem um die systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen.

Zu den Pflichtinhalten zählt zudem die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck sowie die Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen. Außerdem sind die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich etwaiger Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird, Teil der Pflichtinhalte – die Rechte und berechtigten Interessen der Betroffenen sind dabei zu berücksichtigen. Mit diesen Informationen muss sich das datenverarbeitende Unternehmen unter Umständen an den oder die Betroffenen wenden, um deren Meinung einzuholen. Sofern die DSFA ergibt, dass ein hohes Risiko besteht und die verantwortliche Stelle keine Maßnahmen zur Eindämmung dieses Risikos ergreift respektive ergreifen kann, so muss die Datenschutzaufsichtsbehörde kontaktiert und mit ihr das weitere Vorgehen abgeklärt werden. Datenschutzkonformität ist kein Selbstläufer. Unternehmen sollten sich daher einem ständigen Risikobewertungsprozess (siehe Kasten „Praxistipp“) unterziehen, um Risiken schnell zu erkennen und zu bewältigen.

Links & Literatur

[1] Website des Autors: http://www.ra-rohrlich.de
[2] Videotrainings des Autors: https://www.video2brain.com/de/trainer/michael-rohrlich

PHP Magazin

Entwickler MagazinDieser Artikel ist im PHP Magazin erschienen. Das PHP Magazin deckt ein breites Spektrum an Themen ab, die für die erfolgreiche Webentwicklung unerlässlich sind.

Natürlich können Sie das PHP Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist das Entwickler Magazin ferner im Abonnement oder als Einzelheft erhältlich.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -