Datenschutzfolgenabschätzung DSFA

 

 

Die DSFA dient in erster Linie dazu, wirksame und geeignete technische und organisatorische Maßnahmen (TOM) zur Reduzierung des Risikos bei der Verarbeitung personenbezogener Daten zu identifizieren.

 

Art. 32 DSGVO:

 

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

  

 

Technikfolgenabschätzung

Wikipedia:

Das Forschungsgebiet der Technikfolgenabschätzung (kurz TA, auch: Technologiefolgenabschätzung oder Technikbewertung) ist ein Teilgebiet der Technikphilosophie und -soziologie. Es entstand in den 1960er Jahren in den USA und verbreitete sich von den 1970er Jahren an in Europa. Die Technikfolgenabschätzung befasst sich mit der Beobachtung und Analyse von Trends in Wissenschaft und Technik und den damit zusammenhängenden gesellschaftlichen Entwicklungen, insbesondere der Abschätzung der Chancen und Risiken. Zudem soll die Technikfolgenabschätzung politische Handlungsempfehlungen oder Richtlinien für die Vermeidung von Risiken und die verbesserte Nutzung der Chancen geben (siehe auch Gefährdung). Damit stellt sie eine konzeptionelle Erweiterung der klassischen Entscheidungstheorie dar.

  

 

Gesetzesfolgenabschätzung:

Wikipedia:

Die Gesetzesfolgenabschätzung (GFA) befasst sich mit der Erfassung und Analyse von gewollten Auswirkungen und ungewollten Nebenwirkungen von Rechtsnormen. Zweck von Gesetzesfolgenabschätzungen ist es, staatliches Handeln effektiver zu gestalten, staatliche Eingriffe auf das notwendige Mindestmaß zu beschränken und mögliche Alternativen einzubeziehen. Nach §§ 43 Absatz 1 Nr. 5, 44, 62, 70 Gemeinsame Geschäftsordnung der Bundesministerien GGO sind die Ergebnisse der Abschätzung der Gesetzesfolgen in der Begründung zum Rechtsakt und im Vorblatt bei der Vorlage des Entwurfes darzustellen.

  

 


 

Die DSFA besteht aus drei großen Blöcken:

  

 

 

I. Block: Verarbeitungsvorgang

 

Der I. Block dient der „Sachverhaltsdarstellung“. Dazu kann auf das jeweilige Einzelverzeichnis der Verarbeitungstätigkeiten zurückgegriffen werden. Regelmäßig wird aber nicht der gesamte im EVVT dargestellt Verarbeitungsvorgang DSFA-pflichtig sein, sondern nur einzelne Teile daraus. Konkret heißt das, dass die Verarbeitungstätigkeit nur partiell datenschutzfolgenabschätzungspflichtig ist, und zwar nur insoweit, als die jeweiligen bestimmten Daten zur DSFA führen.

 

1. Systematische Beschreibung des Verarbeitungsvorgangs

 

2. Beschreibung der jeweiligen Zwecke des Verarbeitungsvorgangs

 

3. Erläuterung der Rechtsgrundlage, insbes. Spezifizierung bei Verarbeitung zur Wahrung berechtigter Interessen

 

4. Begründung für die Notwendigkeit und Verhältnismäßigkeit des Verarbeitungsvorgang (Mittel-Zweck-Relation)

 

5. Darstellung des Standpunktes betroffener Personen (Stellungnahme der Personalvertretung / einzelner Beschäftigter und Würdigung) und des Datenschutzbeauftragten

 

 

  

 

 

II. Block: Risikobewertung – Notwendigkeit der DSFA

 

Der II. Block beinhaltet die Analyse, ob bei dem Datenverarbeitungsvorgang bzw. bei einzelnen Schritten vermutlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht und deshalb eine DSFA vorzunehmen ist. In bestimmten Fällen wird dabei das hohe Risiko abstrakt unterstellt, sodass eine DSFA stets notwendig ist (s.u. Art. 35 Abs. 3 DSGVO, Kriterienkatalog, Positivlisten).

 

1. Zu betrachtende Risiken

 

Zunächst müssen dazu die zu betrachtenden Risiken dargestellt werden. Zu unterscheiden ist dabei zwischen Risiken, die auch bei einer prinzipiell rechtmäßigen und fehlerfreien Datenverarbeitung entstehen können, und Risiken, die aus Fehlern bei der Datenverarbeitung erwachsen.

Bei einer prinzipiell rechtmäßigen und fehlerfreien Datenverarbeitung liegt das eine DSFA auslösende Hauptrisiko in der Gefahr einer maschinellen Kontrolle des Einzelnen.

 

1) Maschinelle Kontrolle

a) maschinelle Überwachung (Videoüberwachung, bearbeitete Dateien)

b) maschinelle Datenverifikation durch Datenbankabgleich

c) maschinelle Datengenerierung durch Datenbankabgleich (Kombination von Daten führt zu neuen Daten)

d) maschinelle Entscheidung (Zugang zu technischen Systemen, Bewertung)

 

2) Fehlerhafte Datenverarbeitung

a) Verlust der Vertraulichkeit (unbefugter Zugriff / Offenbaren)

b) Verlust der Integrität (Veränderung, falsche Daten)

c) Verlust der Verfügbarkeit

 

2. Schutzbedarf

Sodann ist der Schutzbedarf der verarbeiteten Daten zu bestimmen. Dieser richtet sich in erster Linie nach der jeweiligen Datenkategorie, kann sich aber auch aus dem Kontext der Datenverarbeitung ergeben.

 

3. Einschätzung der Auswirkungen

In einem dritten Schritt sind die Auswirkungen einer Risikorealisierung zu bestimmen. Dafür sind mindestens drei, besser aber vier Kategorien zu bilden: vernachlässigbar, beschränkt, signifikant und maximal.

 

4. Beurteilung der Eintrittswahrscheinlichkeit des zu betrachtenden Risikos

In einem vierten Schritt muss die Eintrittswahrscheinlichkeit der Risikorealisierung analysiert werden. Auch hier sind mindestens drei, besser aber vier Kategorien zu bilden: vernachlässigbar, beschränkt, signifikant und maximal.

 

Beispiel für Schritte 1 - 4:

Die Eintrittswahrscheinlichkeit für das Risiko, dass unbefugte Dritte Zugriff (=Risiko) auf Beihilfedaten (=Datenkategorie), aus denen sich eine HIV-Erkrankung (=maximale Auswirkungen für den Betroffenen) ergibt, bekommen, ist sehr niedrig, weil die DV-Anlagen besonders stark gesichert sind und die Personalakten organisatorisch besonders geschützt sind.

 

5. Ermittlung des Risikowerts nach Risiko-Matrix

Auf der Basis der Feststellungen der Schritte 1 – 4 ist sodann der Risikowert anhand einer Risiko-Matrix festzustellen:

 

 

 

Auswirkungen aus Sicht des Betroffenen

maximal

mittel

erhöht

hoch

hoch

signifikant

mittel

mittel

erhöht

hoch

beschränkt

gering

mittel

mittel

erhöht

vernachlässigbar

gering

gering

mittel

mittel

 

 

vernachlässigbar

beschränkt

signifikant

maximal

 

 

Eintrittswahrscheinlichkeit

 

 

Eine Zuordnung zu den Risikowerten „erhöht“ und „hoch“ führt zur Notwendigkeit einer DSFA.

Im Personalbereich kann dies regelmäßig nur der Fall sein, wenn atypisch keine ausreichenden Maßnahmen zur Reduzierung der Risikorealisierungswahrscheinlichkeit getroffen wurden.

  

Notwendigkeit einer DSFA aufgrund der „Regelbeispiele“ der DSGVO und der Kriterienkataloge der Aufsichtsbehörden:

(1) Die DSGVO selbst benennt in Art. 35 Abs. 3 DSGVO drei „Regelbeispiele“, wann eine DSFA regelmäßig notwendig ist. Im Personalbereich relevant ist vor allem die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten.

Umfangreich ist eine Verarbeitung dann, wenn sie eine Vielzahl von Personen betrifft, eine Mehrzahl von Kategorien umfasst und in zeitlicher Hinsicht mehrmals in einem relevanten Zeitraum passiert.

Danach ist DSFA-pflichtig der Beihilfebereich und die Verarbeitung von Daten zur Schwerbehinderung, zur Religion und zur sexuellen Orientierung (über den Familienstand).

(2) Die Datenschutzbehörden haben mehrere Kriterien benannt, wann eine DSFA in der Regel notwendig ist (s. Leitlinien zur DSFA https://www.datenschutz-bayern.de/technik/orient/oh_dsfa.pdf ). Wenn zwei der dort genannten neun Kriterien erfüllt sind, muss in aller Regel eine DSFA durchgeführt werden. Das erste Kriterium ist im Personalbereich stets erfüllt, weil Arbeitnehmer per se als schutzbedürftige Personen gelten. Entscheidend ist damit das regelmäßig als zweites in Betracht kommende Kriterium der umfangreichen Datenverarbeitung. Nicht sachgerecht kann sein, denn gesamten Bereich der Personaldatenverarbeitung datenschutzfolgenabschätzungspflichtig zu machen. Das Kriterium der umfangreichen Datenverarbeitung kann daher nicht rein quantitativ, sondern muss qualitativ bestimmt werden. Entscheidend ist insofern, welche Datenkategorien in welchem Umfang in einem Prozess wie oft verarbeitet werden.

Danach ist DSFA-pflichtig die Datenverarbeitung im Disziplinarverfahren, 

(3) Die Datenschutzbehörden haben zahlreiche explizite Positivlisten aufgestellt. Sie begründen aber für den Personalbereich keine weiteren DSFA-Pflichten.

  

Diese Regelbeispiele bzw. Listenverzeichnisse sind das Ergebnis einer typisierenden Betrachtung von Verarbeitungsvorgängen anhand der oben sikzzierten Schritte 1 – 4. Sie begründen prinzipiell immer die Notwendigkeit einer DSFA.

 

Beispiel: Werden höchstpersönliche Daten von schutzbedürftigen Personen (Gesundheitsdaten von Kindern) (=Schutzbedarf) verarbeitet, könnte ein unbefugtes Offenbaren (=Risiko) dieser Daten maximale Auswirkung auf den Betroffenen haben (es sei denn, die Eintrittswahrscheinlichkeit kann auf ein vernachlässigbares Niveau abgesenkt werden).

 

Prüfungsschema zur Notwendigkeit:

1. Regelbeispiele nach Art. 35 Abs. 3 DSGVO

2. Kriterienkatalog ("2 aus 9")

3. Positivlisten

4. Einzelrisikoüberprüfung.

  

Ergibt die Risikobewertung schließlich, dass keine DSFA notwendig ist, bedarf es keines weiteren Schritts. Die bisherige Darstellung dient dann der Dokumentation der Entbehrlichkeit der DSFA.

 

 

 Positivlisten:

  

BfDI Bund: https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/ListeVerarbeitungsvorgaenge.html

  

Baden-Württemberg: 

https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/

  

Brandenburg: 

 http://www.lda.brandenburg.de/sixcms/detail.php/bb1.c.596771.de

  

Hamburg: 

 https://datenschutz-hamburg.de/dsgvo-information/art-35-mussliste/

  

Niedersachsen: https://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/liste_von_verarbeitungsvorgaengen_nach_art_35_abs_4_dsgvo/liste-von-verarbeitungsvorgaengen-nach-art-35-abs-4-ds-gvo-164661.html

  

Nordrhein-Westfalen: 

 https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Datenschutz-Folgenabschaetzung.html

  

Rheinland-Pfalz: 

https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/datenschutz-folgenabschaetzung/

  

Saarland: 

 https://datenschutz.saarland.de/themen/datenschutz-folgenabschaetzung/

  

Sachsen-Anhalt: 

https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/liste-von-verarbeitungstaetigkeiten-mit-erforderlicher-datenschutz-folgenabschaetzung/

  

Schleswig-Holstein: 

 https://www.datenschutzzentrum.de/dsgvo/#dsfa

  

Thüringen: 

https://www.tlfdi.de/tlfdi/europa/europaeischedsgvo/index.aspx

 

  

 

 

III. Block: Maßnahmen zur Risikominimierung

 

Im III. Block muss schließlich dargestellt werden, welche Maßnahmen ergriffen werden, um die Risiken zu verringern und warum diese Abhilfemaßnahmen zu jedem einzelnen Risiko (Garantien, Sicherheitsvorkehrungen, Schutzverfahren, Nachweisverfahren) die Schlussfolgerung tragen, dass die Maßnahmen das Risiko adäquat reduzieren.

Freilich ist der Zweck dieser Maßnahmen häufig, die Eintrittswahrscheinlichkeit zu reduzieren. Wenn diese Maßnahmen im Zeitpunkt der DSFA bereits realisiert sind, führen sie dann natürlich dazu, dass die DSFA nicht erst notwendig wird.

 

 

  


Praktische Umsetzung - Erstellung einer DSFA

Ein sehr leistungsfähiges Tool zur Erstellung einer DSFA wird von der französischen Datenschutzbehörde zur Verfügung gestellt.

 

Im Personalbereich ist in folgenden Fällen eine DSFA notwendig und deshalb durchzuführen:

  1. Führung der Teilakte Beihilfe
  2. Führung der Teilakte Disziplinarverfahren
  3. Führung der Personalakte hinsichtlich folgender Daten: besonders schutzwürdige Daten nach Art. 9 DSGVO und Familienstand.
  4. Führung des Personalverwaltungssystems.

Die Kategorisierung beruht auf der hier vertretenen Konzeption des Verzeichnisses der Verarbeitungstätigkeiten und greift aus den jeweiligen Einzelverzeichnissen die jeweils "kritischen" Verarbeitungsvorgänge heraus.