Geschrieben am 20.05.2020 von:
Herzlich willkommen zum heutigen #DatenDonnerstag! TOM erklärt heute mal ein paar Irrtümer zu einer sehr (sehr!) unbeliebten Pflicht verantwortlicher Unternehmen: Der guten alten Datenschutz-Folgenabschätzung. Kein Plan, was das ist? Die Datenschutz-Folgenabschätzung (DS-FA) ist eine Maßnahme, die das Unternehmen ergreifen muss, wenn es Verarbeitungen durchführt, die ein Risiko
Gerade die DS-FA ist für viele Verantwortliche noch ein Buch mit sieben Siegeln. Die vielen Dokumente dazu – in Gestalt von Whitepapers, Orientierungshilfen und Beispielen – wirken in ihrer Gesamtheit ja auch eher abschreckend als aufklärend. TOM wird in diesem Beitrag zumindest mit den fünf größten Irrtümern rund um die „DS-FA“ aufräumen.
1. Die “Muss-Liste” der Aufsichtsbehörde ist abschließend
Diese Muss-Liste bzw. „Blacklist“ ist nicht abschließend. Das bedeutet, dass der Verantwortliche bei Vorliegen der Voraussetzungen nach Art. 35 Abs. 1 DS-GVO auch dann eine DS-FA durchführen muss, wenn die in Raum stehende Verarbeitung nicht in der „Muss-Liste“ aufgeführt ist.
Die sogenannte Muss-Liste (abrufbar u.a. hier) zeigt zwar bis hin zu ganz konkreten Beispielen auf, wann eine DS-FA durchgeführt werden muss, erhebt aber keinen Anspruch auf Vollständigkeit. Wie auch im Abschlusstext der Muss-Liste erwähnt, orientiert sich die Liste an den neun maßgeblichen Kriterien der ehemaligen Artikel-29-Gruppe (jetzt Europäischer Datenschutzausschuss). Sofern mindestens zwei der Kriterien zusammentreffen, kann in der Regel von einem hohen Risiko ausgegangen werden, sodass eine DS-FA durchzuführen ist. Es ist aber nicht ausgeschlossen, dass bereits die Erfüllung von einem Kriterium zu einem voraussichtlich hohen Risiko – und somit zur Durchführung einer DS-FA führt. Im Übrigen enthält auch Art. 35 Abs. 3 a) – c) DS-GVO allgemeine Kriterien, die in diesem Zusammenhang ebenfalls zu berücksichtigen sind.
2. Die DS-FA ist eine rein technische Risikoabschätzung
Die DS-FA kann grundsätzlich in zwei Teile untergliedert werden: dem rechtlichen und dem technischen Prüfungsteil.
Leider finden sich viele Datenschutz-Folgenabschätzungen im Internet, die nur die technische Risikoabschätzung im Fokus haben. Es mangelt diesen Beispielen konkret an dem rechtlichen Prüfungsteil, obwohl dieser essentiell ist. Nur bei Vorliegen einer einschlägigen Rechtsgrundlage für die Datenverarbeitung kann die technische Risikoanalyse überhaupt durchgeführt werden. Ohne eine einschlägige Rechtsgrundlage dürfen nämlich keine Daten verarbeitet werden (sog. „Verbot mit Erlaubnisvorbehalt“). Auf die Datensicherheit des Verarbeitungsprozesses kommt es in diesem Fall dann nicht mehr an.
3. Der Datenschutzbeauftragte muss die DS-FA durchführen
Laut Art. 35 Abs. 1 DS-GVO „[…] führt der Verantwortliche vorab […]“ eine DS-FA durch. Zu dieser DS-FA kann der Datenschutzbeauftragte gemäß Art. 39 Abs. 1 c) DS-GVO auf Anfrage beratend und überwachend tätig werden.
Grundsätzlich ist also der Verantwortliche für die Durchführung der DS-FA verantwortlich. Dem Datenschutzbeauftragten können aber weitere Aufgaben übertragen werden. Hierzu zählt u.a. auch die Koordination bzw. die finale Durchführung der DS-FA. Dem Datenschutzbeauftragten müssen hierfür dann aber die benötigten (zeitlichen) Ressourcen zur Verfügung gestellt werden.
4. Die DS-FA ist eine einmalige Sache
Auch wenn die DS-FA durchgeführt und das Risiko in diesem Zusammenhang durch geeignete Maßnahmen angemessen reduziert wurde, ist die DS-FA anschließende in den „Datenschutzkreislauf“ des Unternehmens einzupflegen.
Das Ergebnis einer DS-FA kann sich nämlich ändern, da die Rahmenbedingungen einer konkreten Datenverarbeitung sich im Laufe der Zeit umwandeln können. Dies gilt insbesondere für die technisch-organisatorischen Maßnahmen. Das Ergebnis einer DS-FA ist demnach regelmäßig zu kontrollieren. Die vorgenommenen Schutzmaßnahmen sind auf dem neuesten Stand zu halten und bei Bedarf zu aktualisieren.
5. Der Auftragsverarbeiter muss für den Verantwortlichen die DS-FA durchführen, wenn er den Dienst bereitstellt, der das hohe Risiko begründet
Der Provider des risikobehafteten Dienstes muss auch dann nicht für den Verantwortlichen die DS-FA durchführen, wenn er gleichzeitig als sog. Auftragsverarbeiter agiert. Nur der Verantwortliche ist zur Durchführung der DS-FA verpflichtet (vgl. Art. 35 Abs. 1 DS-GVO)
Auftragsverarbeiter und Verantwortlicher sind bei der DS-FA jedoch zur Zusammenarbeit verpflichtet. Laut Art. 28 Abs. 3 f) DS-GVO unterstützt der Auftragsverarbeiter „unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten“.