Datenschutz-Folgenabschätzung

Zweck der DSFA ist es, im Falle von besonders riskanten Datenverarbeitungsvorgängen die voraussichtlichen Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zu identifizieren.

Art. 35 DSGVO sieht mehrere Gründe für die verpflichtende Durchführung einer DSFA vor:

1. Im Falle einer riskanten Datenverarbeitung gemäss Abs. 1;
2. Im Falle der in Abs. 3 genannten Beispiele, die nicht als abschliessende Aufzählung zu betrachten sind;
3. Im Falle, dass die gemäss Abs. 4 von den zuständigen nationalen Aufsichtsbehörden verfassten Listen die Durchführung einer DSFA für einen bestimmten Verarbeitungsvorgang erforderlich machen.

Riskante Datenverarbeitung gemäss Abs. 1:

Eine Datenschutz-Folgenabschätzung ist bei einem zu erwartenden hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorgängig zu einer solchen Datenverarbeitung zwingend durchzuführen.

Das zu erwartende hohe Risiko beinhaltet Risiken für die Privatsphäre und Datenschutzrechte, aber auch Auswirkungen auf weitere Grundrechte und Interessen der betroffenen Personen. Einen wichtigen Hinweis liefert auch ErwGr. 75, der das Risiko mit einem potenziellen Schaden verbindet:

Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung, einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann, wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren,[...]

Eine DSFA kann bereits dann erforderlich sein, wenn die Datenverarbeitung allein aufgrund des mit ihr verfolgten Zweckes als riskant zu bewerten ist.

Zur Beurteilung des „hohen“ Risikos ist sowohl die Eintrittswahrscheinlichkeit des Schadens und die Schwere des Schadens für die betroffene Person zu berücksichtigen. Der Begriff „Risiko“ impliziert eine mehr als nur geringe Möglichkeit eines Schadenseintritts. Die Ergänzung durch den Begriff „hoch“ impliziert einen höheren Schwellenwert, entweder weil der Schadenseintritt wahrscheinlicher ist oder der potentielle Schaden schwerwiegend ist.

Die Artikel-29-Arbeitsgruppe (WP29) hat Leitlinien mit neun Kriterien (WP248) veröffentlicht, die als Indikatoren für die Feststellung eines „wahrscheinlich hohen Risikos“ dienen können:

1. Bewertung und Einstufung (Scoring) einschliesslich Prognosen und Profilerstellung: Erwägungsgründe 71 und 91 DSGVO verstehen hierunter das Erstellen von Profilen und Prognosen, insbesondere auf der Grundlage von „Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person“.
    

   Beispiel: Ein Unternehmen erstellt anhand der Nutzung ihrer Internetsite personenbezogene Verhaltensprofile.

2. Automatisierte Entscheidungsfindung mit rechtlichen oder ähnlich signifikanten Auswirkungen für Betroffene: Dies umfasst Verarbeitungsvorgänge, welche die Grundlage für Entscheidungen bilden, „die Rechtswirkung gegenüber natürlichen Personen entfalten“ oder diese „in ähnlich erheblicher Weise beeinträchtigen“ (vgl. Art. 35 Abs. 3 Bst. a DSGVO). Die Verarbeitung führt in Folge zum Ausschluss oder zur Benachteiligung von Personen. Verarbeitungsvorgänge, die keine oder nur wenige Auswirkungen auf Personen haben, erfüllen dieses Kriterium nicht.
3. Systematisches Monitoring: Dies umfasst Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen bezwecken und beispielsweise auf Daten basieren, die über Netzwerke generiert wurden oder auf „eine systematische [...] Überwachung öffentlich zugänglicher Bereiche“ (vgl. Art. 35 Abs. 3 Bst. c DSGVO) abzielen.
4. Verarbeitung besonderer Kategorien personenbezogener Daten gemäss Art. 9 oder 10 DSGVO;
5. Umfangreiche Datenverarbeitung;
6. Vergleich oder Kombination von Datensätzen aus unterschiedlichen Quellen;
7. Verarbeitung von Daten schutzbedürftiger natürlicher Personen;
8. Einsatz innovativer Technologien oder neuartiger organisatorischer Lösungen;
9. Datenverarbeitung, die verhindert, dass die betroffene Person ein Recht ausüben oder eine Dienstleistung oder einen Vertrag ausführen kann.

In den meisten Fällen weist eine Kombination von zwei dieser Faktoren auf die Notwendigkeit einer DSFA hin. 

Checkliste der Datenschutzstelle für die Prüfung der Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung (DSFA): Datenschutz-Folgenabschätzung Schwellwertanalyse

Art. 35 Abs. 3 DSGVO benennt drei Kategorien von Fällen, die eine Datenschutz-Folgenabschätzung jedenfalls erforderlich machen. Dies sind:

(a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschliesslich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;   (b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäss Artikel 9 Absatz 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäss Artikel 10 DSGVO; oder   (c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Gemäss Art. 35 Abs. 4 DSGVO ist jede Datenschutzaufsichtsbehörde verpflichtet, eine Liste der Verarbeitungsvorgänge zu veröffentlichen, für die eine DSFA verpflichtend durchzuführen ist.

Diese Liste orientiert sich an den Leitlinien des Europäischen Datenschutzausschusses und nennt elf Verarbeitungsvorgänge, welche nach Einschätzung der Datenschutzstelle Liechtenstein (DSS) eine DSFA notwendig machen.

Die DSS hat diese Liste gemäss Art. 35 Abs. 4 DSGVO dem Europäischen Datenschutzausschuss vorgelegt, welcher dazu Anfang Februar 2019 eine Stellungnahme abgegeben hat. Die gemäss dieser Rückmeldung angepasste nationale Liste gilt ab 27. Februar 2019.

Liste der Datenschutzstelle Liechtenstein (deutsch) List of processing operations... blacklist (englisch)

Konkrete Verfahrensschritte einer DSFA

1. Bildung eines Teams zur Durchführung der DSFA
2. Beurteilungsumfang festlegen (Beschreibung des Verarbeitungsvorgangs einschliesslich Datenflüsse und Zwecke der Verarbeitung in Abgrenzung zu ‎anderen (Geschäfts-)Prozessen
3. Betroffene und Akteure identifizieren (Datenschutzbeauftragten und gegebenenfalls Betroffene in den Prozess einbinden)
4. Rechtsgrundlagen für die Verarbeitung prüfen und dokumentieren
5. Prüfung der Notwendigkeit / Verhältnismässigkeit in Bezug auf den ‎Verarbeitungszweck
6. Risikoquellen identifizieren
7. Risikobewertung unter Berücksichtigung ‎möglicher physischer, materieller oder immaterieller Schäden, ‎deren Schwere sowie ‎Eintrittswahrscheinlichkeit
8. Identifizierung von geeigneten Abhilfemassnahmen, insbesondere technische und organisatorische Massnahmen (TOMs)‎
9. Verbleibende Restrisiken identifizieren und dokumentieren
10. DSFA-Bericht erstellen
11. Abhilfemassnahmen umsetzen
12. Wirksamkeit der Abhilfemassnahmen prüfen
13. Freigabe der Verarbeitungsvorgänge
14. DSFA bei Bedarf aktualisieren, das heisst eine DSFA ist erneut durchzuführen, wenn sich die Faktoren der Datenverarbeitung massgebend geändert haben, sprich neue Risikofaktoren hervorgetreten sind.

Mindestinhalt einer Datenschutz-Folgenabschätzung

Diesen legt die DSGVO in Art. 35 Abs. 7 wie folgt fest:

1. Systematische Beschreibung der Verarbeitungsvorgänge und der Zwecke der Verarbeitung;
2. Bewertung der Notwendigkeit und Verhältnismässigkeit der Verarbeitung in Bezug zum Zweck der Verarbeitung;
3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
4. Geplante Abhilfemassnahmen zur Bewältigung der Risiken.

Weitere Schritte:

Verbleibt ein hohes Restrisiko, sind folgende Schritte zu unternehmen:

• Der Verantwortliche ist verpflichtet, eine DSFA durchzuführen;
• Ferner hat er vor einem Einsatz einer derartigen Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren und
• deren Entscheidung (Einsatz nur nach Ergreifung weiterer Schutzmassnahmen, Verbot der geplanten Verarbeitung) zu beachten.

 

Software der französischen Aufsichtsbehörde

Die französische Datenschutzaufsichtsbehörde Commission Nationale de l'Informatique et des Libertés (CNIL) stellt eine interaktive, selbsterklärende, frei zugängliche und kostenlose Open-Source-Software zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) zur Verfügung.

Informationen und einen Download-Link zum Werkzeug finden sich hier. Für die Verarbeitung Verantwortliche können die Software einfach herunterladen und ohne Installation direkt auf deren Computer ausführen.

Das Werkzeug bietet in einer offenen Bandbreite nahezu allen Verantwortlichen in Liechtenstein – von kleineren oder grösseren Unternehmen bzw. KMUs und gegebenenfalls auch Vereinen – eine „elektronische Hilfestellung“ bei der Durchführung von DSFAs nach Art. 35 DSGVO. Die Lösung basiert auf einer grafischen Oberfläche, die eine relativ einfache Bearbeitung von DSFAs dahingehend ermöglicht, als dem Verantwortlichen Schritt für Schritt die Methodik der Durchführung klar dargelegt wird. Verschiedene Visualisierungsmöglichkeiten helfen dabei, die Risiken schnell zu identifizieren und allenfalls geeignete Massnahmen zur Reduzierung der Risiken zu finden.

Aufgrund der individuellen Angaben kann sich der Verantwortliche eine sehr anschauliche Risikokartierung anzeigen lassen, welche auf den Bedrohungsszenarien und den bereits ergriffenen Massnahmen basiert. Diese Visualisierung ermöglicht es, die Positionierung der Risiken vor und nach der Anwendung der jeweiligen Massnahmen zu vergleichen.

Eine Visualisierung (Risikoübersicht) ermöglicht eine globale und kompakte Übersicht über die Auswirkungen der vorgesehenen Massnahmen auf die Risiken, die von der Verarbeitung ausgehen.

Die unmittelbaren Auswirkungen bzw. Risiken können somit entsprechend schnell erkannt und sogleich beurteilt werden. Ebenfalls unterstützt die Software den Verantwortlichen in der Planung möglicher ergänzender Massnahmen (Aktionsplan), die während der Durchführung der DSFA identifiziert wurden. Der Aktionsplan wird automatisch aktualisiert, sobald im Rahmen der Überprüfung der DSFA Ergänzungen vorgenommen werden.

Da es sich um eine Open-Source-Lösung (GPL-3.0) handelt, kann jeder Verantwortliche den Inhalt und die Funktionalität auf seine spezifischen Bedürfnisse hin anpassen oder auch eine Adaptierung des Werkzeugs vornehmen. Ausserdem besteht die Möglichkeit, die Software zu modifizieren, um Funktionalitäten hinzuzufügen oder es in bereits verfügbare Werkzeuge zu integrieren.

Durch die Verwendung kann jedoch keine Rechtsverbindlichkeit abgeleitet werden.

Fragebogen zur DSFA der britischen Aufsichtsbehörde ICO

Als Alternative zur oben beschriebenen CNIL Software-Lösung bietet ebenso die ICO, die britische Datenschutzaufsichtsbehörde, für die Durchführung einer DSFA nach Art. 35 DSGVO Hilfestellung in Form von Checklisten und Vorlagen an.

Für die Verarbeitung Verantwortliche können unter anderem hier eine entsprechende Vorlage (.docx Word-Dokument) kostenlos herunterladen. Die von der Datenschutzstelle erstellte und leicht überarbeitete deutsche Übersetzung dieser Word-Vorlage finden Sie hier. Die Vorlage beinhaltet einen Fragebogen, der in weiterer Folge bei der Durchführung einer DSFA unterstützt und anleitet.

Laut ICO sieht der Prozess einer DSFA folgende neun Schritte vor:

In diesen neun Schritten ist die Notwendigkeit der Durchführung einer DSFA individuell zu ermitteln, indem die entsprechenden Beschreibungen sowie Erläuterungen im Fragebogen festgehalten werden und im Anschluss eine Ergebnisauswertung selbst vorgenommen wird:

1. Schritt: Sie ermitteln die Notwendigkeit einer DSFA. Was soll mit der Datenverarbeitung erreicht werden und welche Art von Verarbeitung ist damit verbunden?
2. Schritt: Sie beschreiben die Art, den Umfang, den Zeck und den Kontext der Verarbeitung. Wie werden die Daten gesammelt, verwendet, gespeichert, und gelöscht? Quelle der Daten; Art der Verarbeitung; Art der Datenkategorien.
3. Schritt: Sie führen einen Konsultationsprozess mit Personen/Institutionen durch, welche vom Verarbeitungsprozess betroffen oder in diesen involviert sind.
4. Schritt: Sie bewerten die Notwendigkeit und Verhältnismässigkeit. Beschreibung der Compliance- und Verhältnismässigkeitsmassnahmen: Rechtmässigkeit, Zweck, Datenqualität und Datenminimierung usw.
5. Schritt: Sie identifizieren und bewerten die Risiken. Beschreibung der Quelle des Risikos und die Art der potentiellen Auswirkung auf Einzelpersonen, Wahrscheinlichkeit/Schwere des Schadens, Gesamtrisiko);
6. Schritt: Sie ermitteln die Massnahmen zur Risikominimierung in Bezug auf jene Risiken, die in Schritt 5 als mittleres oder hohes Risiko eingestuft wurden.
7. Schritt: Sie dokumentieren die Stellungnahme Ihres Datenschutzbeauftragten.
8. Schritt: Sie integrieren die Ergebnisse in Ihre Verarbeitung.
9. Schritt: Sie behalten Ihre Verarbeitung im Auge und überprüfen sie periodisch.

Im Unterschied zur Software der CNIL erfolgt bei der Nutzung des ICO-Fragebogens keine automatische elektronische Bewertung der Risiken mit einer sich generierenden Risikokartierung und einem Aktionsplan. Das Werkzeug kann lediglich als rein statische Vorlage für die Prozessaufzeichnung und selbst einzuschätzenden Ergebnissen für die Durchführung einer DSFA verwendet werden. Auch hier gibt es keine Rechtsverbindlichkeit.

Der Nachweis der Durchführung einer verpflichtenden DSFA ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.

Die Entscheidung über die Durchführung bzw. Nichtdurchführung einer Datenschutz-Folgenabschätzung ist mit den massgebenden Gründen, die zur jeweiligen Entscheidung geführt haben, schriftlich zu dokumentieren.

Wenn ein Datenschutzbeauftragter gemäss Art. 37 DSGVO bestellt ist, ist er für Fragen rund um die DSFA zu Rate zu ziehen. Dies ergibt sich aus Art. 39 Abs. 1 Bst. c sowie Art. 35 Abs. 2 DSGVO. 

Der Datenschutzbeauftragte sollte Gelegenheit haben, insbesondere zu folgenden Fragen Stellung zu nehmen:

• Muss eine DSFA durchgeführt werden?
• Wie sollte die DSFA durchgeführt werden?
• Soll die DSFA mit internen Mitarbeitenden durchgeführt werden oder extern vergeben werden?
• Welche Massnahmen sollen zur Risikominimierung ergriffen werden?
• Wurde die DSFA ordnungsgemäss durchgeführt und dokumentiert?
• Kann die Verarbeitung nach erfolgter Prüfung stattfinden?

Es wird empfohlen, die Stellungnahmen des Datenschutzbeauftragten zu dokumentieren. Im Falle einer Abweichung von seinen Einschätzungen sollte auch die Begründung der Abweichung dokumentiert sein.

Gemäss Art. 36 DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Massnahmen zur Eindämmung des Risikos trifft.

Die Konsultation ist bei Zutreffen der genannten Umstände für den Verantwortlichen zwingend vorzunehmen.

Für den Fall, dass faktisch keine Garantien, Sicherheitsvorkehrungen oder sonstige technische oder organisatorische Massnahmen verfügbar sind, kann die Aufsichtsbehörde als ultima ratio die Verarbeitung verbindlich untersagen.

Soweit dies möglich ist, steht es der Aufsichtsbehörde aber auch frei, schriftliche Empfehlungen auszusprechen und ergänzend ihre in Art. 58 DSGVO genannten Befugnisse auszuüben.