Datenschutz-Folgenabschätzung

Eine wesentliche Neuerung der Datenschutz-Grundverordnung (DS-GVO) ist das Instrument der sog. Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist ein wichtiger Bestandteil des neu eingeführten Konzepts des "risikoorientierten Ansatzes" im Datenschutz, der sich durch die DS-GVO wie ein roter Faden zieht. Eine DSFA soll gerade bei Verarbeitungen von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, bewirken, dass gezielt Maßnahmen gefunden werden können, die dieses Risiko eindämmen.

Somit dient der risikoorientierte Ansatz der DS-GVO letztendlich zur Auswahl der "richtigen" (d. h. wirksamen und geeigneten) technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. Dies bedeutet im Alltag für Verantwortliche, dass durch eine Auswahl passender Maßnahmen das Risiko der Rechte und Freiheiten für die einzelnen betroffenen Personen (z. B. Kunden, Nutzer, Beschäftigte) entscheidend reduziert bzw. eingedämmt werden kann. Die Notwendigkeit einer technischen oder organisatorischen Maßnahme hängt also somit vom "Risiko-Level" ab, d. h. von der Höhe eines möglichen Schadens für die jeweilige Person, wenn es zu einem Eintritt des Risikos bei der Verarbeitung personenbezogener Daten kommt.

Risikostufen

Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Es hat zwei entscheidende Dimensionen: Erstens die Schwere des potentiellen Schadens und zweitens die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.

Die DS-GVO beschreibt an verschiedenen Stellen drei Risiko-Level, die formal unterschieden werden müssen: "Geringes Risiko", "Risiko" und "Hohes Risiko".

Datenschutz-Folgenabschätzung, Risiko-Matrix. Die DS-GVO beschreibt an verschiedenen Stellen drei Risiko-Level, die formal unterschieden werden müssen: "Geringes Risiko", "Risiko" und "Hohes Risiko".
Geringes Risiko

Ein geringes Risiko bedeutet, dass weder die mögliche Schwere des Schadens für den Betroffenen noch die Eintrittswahrscheinlichkeit hoch sind und in Kombination weder mittel noch hoch.
Bei einem geringen Risiko ergeben sich in der DS-GVO für den Verantwortlichen gewisse Ausnahmen verschiedener Verpflichtungen, so dass manche Maßnahmen nicht durchgeführt werden müssen:

  • Bei einer Datenschutzverletzung ohne Risiko (z. B. harmloser Fehlversand innerhalb einer Organisation) muss die Datenschutzaufsichtsbehörde nicht informiert werden.
  • Ein Verzeichnis der Verarbeitungstätigkeiten ist (unter Berücksichtigung anderer Faktoren wie z. B. unregelmäßige Verarbeitung) bei geringem Risiko nicht zu erstellen.

Risiko ("Normal")

Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen, z. B. bei der Verarbeitung von Adresslisten, Einkaufsverhalten, der Kommunikation am Arbeitsplatz oder von Mitgliederlisten eines Sportvereins. Dort kann also die Schwere des Schadens und die Eintrittswahrscheinlichkeit in Kombination ein mittleres Niveau für das Risiko des Betroffenen erreichen.
Bei der Verarbeitung besonderer Arten personenbezogener Daten, d.h. sensibler Daten, ist das Risiko nicht immer gleich als hoch einzustufen. Die Risiko-Stufe "normal" kann also dort auch erreicht werden wie z. B. bei Angaben zur Religionszugehörigkeit "Römisch-Katholisch" in Bayern oder der Diagnose eines "Schnupfens" beim Hausarzt.

Hohes Risiko

Ein hohes Risiko umfasst dagegen potentielle Schäden, deren Ausmaß für die Rechte und Freiheiten von Betroffenen gravierend und/oder ziemlich wahrscheinlich sind. Unter der DS-GVO wird dieses Risiko-Level im Verhältnis aller Verarbeitungen eher selten vorkommen. Da ein hohes Risiko aber wesentliche Rechtsfolgen für den Verantwortlichen hat, muss das mögliche Vorkommen eines hohen Risikos zwangsläufig im Blick behalten werden.

Besonderheiten bei kleinen und mittleren Unternehmen

Die DS-GVO legt ein besonderes Augenmerk auf kleine und mittlere Unternehmen. Dies wird auch durch den risikoorientierten Ansatz deutlich, der im Prinzip nichts anderes ausdrückt, als dass die technischen und organisatorischen Maßnahmen passend zum Verantwortlichen und dessen Verarbeitungen auszuwählen sind. Dabei wird die Art der unterschiedlichen Organisationen (z. B. Großkonzern, datengetriebene Unternehmen, Sportverein, Selbstständiger) besonders derart berücksichtigt, dass es eben keinen pauschalen verpflichtenden Maßnahmenkatalog gleichermaßen für alle gibt (z. B. wird der IT-Grundschutz kaum vom kleinen Angelverein umgesetzt werden müssen), es stattdessen aber (branchentypische) Methoden und Kataloge geben kann (z. B. Standardschutzmaßnahmen für niedergelassene Hausarztpraxen). Dadurch ist es letztendlich möglich, dass jeder Verantwortlicher mit diesen (auch finanziell) verhältnismäßigen Aufwand ein akzeptables Datenschutzniveau erreichen kann.

Wann muss eine DSFA durchgeführt werden?

Hat eine Form der Verarbeitung ein hohes Datenschutzrisiko zur Folge, so ist eine DSFA durchzuführen. Unter dem Blickwinkel, dass Privacy by Design (Art. 25 DS-GVO) und der Sicherheit der Verarbeitung (Art. 32 DS-GVO) schon geplant/umgesetzt wurden, gibt es im Prinzip zwei Szenarien in der Praxis, die ein hohes Risiko zu Folge haben:

  • Es wären grundsätzlich zwar technische und organisatorische Maßnahmen zur Risikoeindämmung denkbar, diese werden aber vom Verantwortlichen als zu teuer betrachtet und nicht umgesetzt. Daraus ergibt sich ein hohen (Rest-)Risiko mit der Verpflichtung einer DSFA durchzuführen.

  • Die Form der Verarbeitung ist derart, dass technische und organisatorische Maßnahmen gar nicht so einsetzbar sind, dass von einer ausreichenden Risikoeindämmung ausgegangen werden kann bzw. der verlässliche Nachweis dazu auch nicht zu erbringen ist. In diesem Fällen findet Art. 35 DS-GVO direkt Anwendung mit der Folge der Durchführungspflicht einer DSFA.

Schwellwertanalyse zur DSFA mit Beispiel

Um zu klären, ob ein mögliches, hohes Risiko vorliegt, das eine DSFA nach sich zieht, ist das Verhältnis zu anderen technischen Anforderungen der DS-GVO zu betrachten. Dazu nachfolgend ein (gewissermaßen überspitztes) Beispiel:

Ein Hausarzt zieht mit seiner Praxis in ein neu gebautes Haus. Das Gebäude hat allerdings noch keine "richtige" Haustüre, da diese noch nicht lieferbar war und erst in zwei Wochen eingebaut werden kann. Nach dem Umzug sind zudem die Patientenakten in Papier nicht geschützt, da auch die Aufbewahrungsschränke noch nicht geliefert wurden. Diese Umstände haben zur Folge, dass die Patientenakten in einem frei zugänglichen Raum liegen. Als Schutzmaßnahme bringt der Arzt ein Pappschild am Eingang an, dass der Zutritt zu dem Haus strengstens verboten ist.

Im Sinne einer Risikobeurteilung nach DS-GVO wird in diesem Fall von einem hohen Risiko auszugehen sein, da die Eintrittswahrscheinlichkeit eines Diebstahls der Patientenakten maximal und der Schaden ebenfalls erheblich (ggf. gravierend) ist. Nach der DS-GVO gibt es nun zwei Möglichkeiten:

  • a)

    Anwendung von Art.25 (Privacy by Design) und Art. 32 (Sicherheit der Verarbeitung) Das Risiko wird plausibel "mit einem scharfem Daumen" abgeschätzt. Dazu werden mögliche Schadensszenarien verwendet, die von (im Datenschutz geübten) Personen durch Analyse der Verarbeitungssituationen als plausibel erachtet werden. Dieser Ansatz ist ähnlich zu dem Vorgehen nach § 9 BDSG (technische und organisatorische Maßnahmen). Nach Anwendung der Maßnahmen wird wieder plausibel abgeschätzt, ob ein nennenswertes Restrisiko vorhanden ist. Der Vorteil dieses Ansatzes ist, dass dieser sehr gut skaliert, d. h. für z. B. einen Hausarzt einfachere, weniger und günstigere Maßnahmen ausreichend sind als für einen Versicherungskonzern.

  • b)

    Es wird eine Datenschutzfolgenabschätzung durchgeführt. Dazu ist meist ein Team aus Spezialisten (Informatiker, Juristen, Fachleute von Fachbereichen,…) notwendig, die eine sehr ausführliche und systematische Risiko-Beurteilung abgeben. Ein besonderes Augenmerk ist dabei auf mögliche Risiko-Quellen ("Ursache") zu legen. Das methodische Knowhow sowie der Zeit- und Kostenfaktor ist dabei nicht zu unterschätzen.

Beim oben aufgeführten Beispiel des Hausarztes würde dies bedeuten:

  • a)

    Durch Anwendung des risikoorientierten Ansatzes nach Art. 25 und Art. 32 DS-GVO ergibt sich, dass eine stabile, abschließbare und einbruchshemmende Haustüre sowie sichere Aufbewahrungsschränke (und natürlich viele weitere Anforderungen wie z.B. Rollen-/Rechtekonzepte in der Arztsoftware, Schutz der Arbeitsplatzrechner, Diskretionsbereiche oder das richtige Löschen von alten Daten) notwendig sind.

  • b)

    Die Durchführung einer DSFA würde das gleiche Ergebnis ergeben.

Bei der Fragestellung, ob eine DSFA durchzuführen ist (also ein hohes Risiko vorhanden sein könnte), muss zuerst (evtl. in mehreren Iterationen) der risikoorientierte Ansatz nach Art. 25/ Art. 32 DS-GVO umgesetzt werden. Standardmaßnahmen sind daher zwangsläufig durchzuführen. Nach Anwendung dieses Ansatzes wird das Restrisiko ermittelt, das die Grundlage für eine DSFA nach DS-GVO bildet.

Wo findet man "Muss-Listen" (Blacklist) zur DSFA-Entscheidung?

Gemäß Art. 35 Abs. 4 DSGVO veröffentlichen die Aufsichtsbehörden Listen mit Verarbeitungstätigkeiten, bei denen verpflichtend eine DSFA durchzuführen ist. Das BayLDA hat bislang von einer Veröffentlichung einer rein bayerischen Liste abgesehen, sondern die Abstimmung der deutschen Aufsichtsbehörden (im Rahmen der Datenschutzkonferenz) aktiv begleitet.

Nachfolgend kann die "Muss-Liste" der deutschen Datenschutzaufsichtsbehörden heruntergeladen werden:

Zur Muss-Liste

Die Systematik der Muss-Liste wurde an das Abstraktionsniveau der Muss-Beispiele nach Art. 35. Abs. 3 DS-GVO angelehnt. Durch dieses mittlere Abstraktionsniveau kann – so die Idee – eine branchenunabhängigere und aktuellere Muss-Liste den Verantwortlichen zur Verfügung gestellt werden. Zu beachten ist: Sollte eine Verarbeitungstätigkeit nicht auf dieser Liste enthalten sein, so ergibt sich daraus nicht zwingend eine Nicht-Ausführung einer DSFA. Gerade bei dem Einsatz von innovativen Technologien ist daher eine individuelle Risikobeurteilung durchzuführen.

Bestehen auch "Braucht-Nicht-Listen" (Whitelists)?

Gemäß Artikel 35 Abs. 5 DS-GVO können von den Aufsichtsbehörden Listen veröffentlicht werden, die Verarbeitungsvorgänge ohne Verpflichtung einer DSFA enthalten. Die deutschen Aufsichtsbehörden haben sich momentan gegen eine solche Liste ausgesprochen. Das BayLDA wird das europäische Abstimmungsverfahren beobachten und ggf. im Herbst 2018 eigene Nicht-Muss-Listen (die nicht im Widerspruch zur europäischen Auslegung der DS-GVO stehen dürfen) veröffentlichen.

Wie kann eine DSFA durchgeführt werden?

Die DS-GVO regelt in Art. 35 recht allgemein die Inhalte, die bei einer DSFA enthalten sein müssen. Da eine DSFA eine systematische Risikobeurteilung darstellt, sind die Schwerpunkte auf eine sehr detaillierte Beschreibung der Verarbeitung (Datenflüsse, Datenfelder, Akteure, IT-Systeme, Prozesse, Technologien, ggf. Dienstleister,…) zu legen. Die DSK hat sich im Rahmen der Kurzpapier-Projekte bereits zu dem allgemeinen Ablauf und Inhalten einer DSFA geäußert: DSK Kurzpapier Nr. 5
Darauf aufbauend sieht das BayLDA momentan folgende Methoden, sofern richtig angewendet, für eine DSFA als geeignet an:

  • ISO 29134 mit Risikobetrachtung entsprechend der Grundsätze nach Art. 5 Abs. 1 DSGVO sowie Betroffenenrechte

  • Standarddatenschutzmodell (SDM) (Version 1.1) mit Risikomodellierung nach DS-GVO (siehe DSK-Kurzpapier Nr.18) sowie geeigneter IT-Sicherheitsbetrachtung

Eine Anwendungshilfe zur Umsetzung einer DSFA nach Datenschutzgrundverordnung ist momentan von Seiten des BayLDA in Vorbereitung.

Gibt es Beispiele zur Umsetzung einer DSFA?

Die deutschen Aufsichtsbehörden haben im Rahmen eines Planspiels im Sommer 2017 sowohl das SDM als auch eine Interpretation der ISO 29134 für ein fiktives Szenario angewendet. Die Arbeitsergebnisse dieses Workshops finden sich hier zum Download:

1 Ausgangssituation:

2 Methodik

Ansatz nach ISO 29134
Anmerkung: Gerade der Umfang der Beschreibung der Systemzusammenhänge als auch die Modellierung der Datenflüsse waren bei dem ISO29134-Szenario (aus Zeitgründen und weil die Methode im Vordergrund stand) sehr knapp gehalten. Bei einer Anwendung der ISO 29134 würde das BayLDA im Allgemeinen deutlich umfangreichere Systembeschreibungen erwarten.
Ansatz nach Standard-Datenschutzmodell

3 Ergebnis

Bewertung der Ergebnisse des Standards ISO 29134 zur Durchführung einer DSFA nach Artikel 35 DS-GVO