Datenschutzfolgenabschätzung

Das müssen Sie noch zur DSGVO wissen

08.08.2017 von Michael Rath und Gerrit Feuerherdt  
Wir sagen Ihnen, was die Datenschutzfolgenabschätzung ist, wer sie wann braucht und was die ISO-Norm 29134 damit zu tun hat.

Mit der am 25.5.2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) wird unter anderem die Datenschutzfolgenabschätzung eingeführt. Die Artikel-29-Datenschutzgruppe hat hierzu Hinweise veröffentlicht. Zudem bietet es sich an, das von den Aufsichtsbehörden entwickelte Standard-Datenschutzmodell; sowie die ISO-Normen 29100 und 29134 bei der Datenschutzfolgenabschätzung zu Grunde zu legen.

Mit der DSGVO wird die Datenschutzfolgenabschätzung eingeführt. Wir sagen Ihnen, was Sie dazu wissen müssen.
Foto: oatawa - shutterstock.com

Standard-Datenschutz, ISO 29100 und 29134

Das "Standard-Datenschutzmodell" der deutschen Datenschutzaufsichtsbehörden soll als Grundlage dienen, die sowohl Behörden als auch Unternehmen bei der Umsetzung der DSGVO etwas "an die Hand gibt". Hierauf kann auch für Datenschutzfolgenabschätzungen zurückgegriffen werden. International existieren mit Normen der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission) im Datenschutz und bei Datenschutzfolgenabschätzun-gen auf internationaler Ebene Leitlinien zur Vereinheitlichung der Vorgehensweise. Die ISO/IEC-Norm 29100:2011 stellt (vergleichbar mit dem deutschen Standard-Datenschutzmodell) Prinzipien auf, die im Datenschutz allgemein gelten und bei jeder Datenverarbeitung zu beachten sein sollen. Die ISO/IEC 29134:2017 beschreibt detailliert den Ablauf einer Datenschutzfolgenabschätzung von der Vorbereitungs- über die Durchführungs- bis hin zur Nachbereitungs- und Report-Phase.

Wann ist eine Datenschutzfolgenabschätzung Pflicht?

Eine Datenschutzfolgenabschätzung ist nach Art. 35 DSGVO immer dann erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Die in Art. 35 Abs. 3 DSGVO genannten Kategorien an Datenverarbeitungen werden vom Gesetzgeber stets als risikobehaftet angesehen, sodass eine Datenschutzfolgenabschätzung zwingend durchzuführen ist.

Die Aufzählung ist jedoch nicht abschließend. Vielmehr kann auch in anderen "risikoreichen" Fällen eine Datenschutzfolgenabschätzung durch den Verantwortlichen durchzuführen sein. Das Kriterium "hohes Risiko" wird in der Datenschutzgrundverordnung jedoch nicht explizit definiert, sodass Unklarheiten bei der genauen Bestimmung dieses Kriteriums verbleiben. Deshalb hat die Artikel-29-Datenschutzgruppe (ein unabhängiges Beratungsgremium der Europäischen Kommission zu Themen rund um den Datenschutz) Leitlinien und Kriterien vorgeschlagen, wann ein hohes Risiko gegeben und wann eine Datenschutzfolgenabschätzung erforderlich sein soll.

Sie schlägt als Daumenregel vor, dass erst bei einer Datenverarbeitung, die mindestens zwei der in ihrer Leitlinie genannten Risikokriterien (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.) erfüllt, ein "hohes Risiko" im Sinne des Art. 35 Abs. 1 DSGVO anzunehmen und daher eine Datenschutzfolgenabschätzung durchzuführen sei. Es wird aber zugleich darauf hingewiesen, dass in Ausnahmefällen schon das Vorliegen nur eines Kriteriums zur Notwendigkeit einer Datenschutzfolgenabschätzung führen kann. Dies führt dazu, dass bei Zweifeln an der Erforderlichkeit der Durchführung einer Datenschutzfolgenabschätzung eine solche stets erfolgen sollte. Die GDPR (General Data Protection Regulation) gibt für die Vorgehensweise vor und während einer Datenschutzfolgenabschät-zung keine expliziten Anweisungen an die Hand. In Art. 35 Abs. 7 DSVO werden lediglich inhaltliche Mindestanforderungen beschrieben. Zu beachten ist zudem, dass auch die Nichtdurchführung einer Datenschutzfolgenabschätzung gemäß Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO ausführlich begründet werden muss.

Datenschutzfolgenabschätzung als Best Practice

Bei der Datenverarbeitung im Konzern wird stets eine Datenschutzfolgenabschätzung notwendig sein. Denn bei international tätigen Unternehmen mit tausenden von Arbeitnehmern und/oder Kunden sind regelmäßig zwei oder mehr der zuvor genannten Kriterien (auch aus der Leitlinie der Artikel-29-Datenschutzgruppe) erfüllt.

Daneben existieren aber noch weitere Gründe, die es sinnvoll erscheinen lassen, im Unternehmen eine Datenschutzfolgenabschätzung durchzuführen, selbst wenn diese grundsätzlich gar nicht notwendig wäre. Denn die verantwortliche Stelle ist ohnehin verpflichtet, gemäß Art. 30 DSGVO ein Verzeichnis der Datenverarbeitungsvorgänge anzulegen. Von dem hierfür erforderlichen Aufwand ist es nur noch ein kleiner Schritt zu einer vollständigen Datenschutzfolgenabschätzung beziehungsweise zur Erfüllung der Mindestanforderungen gem. Art. 35 Abs. 7 DSGVO. Denn nach der Vorbereitungs- und der Risikobewertungs-Phase folgt nur noch die Maßnahmenphase zur Eliminierung oder Eindämmung der festgestellten Risiken.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Der Mehraufwand ist - im Verhältnis zum möglichen Nutzen - eher gering. Denn durch eine ordnungsgemäß durchgeführte Datenschutzfolgenabschätzung erlangt der Verantwortliche Überblick über die unternehmensinternen Datenverarbeitungsvorgänge und mögliche Risiken. Dies ermöglicht ihm eine klare Kommunikation über den Datenschutz im Unternehmen gegenüber Behörden, die zukünftig immer wichtiger werden wird. Das LDA Bayern hat zum Beispiel angekündigt, im Rahmen der EU-Datenschutzgrundverordnung verstärkt zu prüfen. Zur Unterstützung der Umsetzung und Vorbereitung auf die GDPR hat das LDA Bayern vor Kurzem einen (fiktiven) Fragebogen veröffentlicht, den es an circa 150 Unternehmen in Bayern verschickt hat.

Neben Informationen zur Implementierung von Datenschutzfolgenabschätzungen werden auch Daten zu Verarbeitungsverzeichnissen und möglichen Auftragsverarbeitern abgefragt. Mit Hilfe einer Datenschutzfolgenabschätzung können also potentielle Risiken und Sicherheitslücken frühzeitig erkannt und behoben werden. Dies wiederum führt zur Vermeidung von Sanktionen durch die Aufsichtsbehörden, die teils sehr empfindlich (vgl. Art. 80 DSGVO, bis zu vier Prozent des weltweiten, vorjährigen Unternehmensgesamtumsatzes) sein können.

Mapping mit internationalen ISO-Standards

Der Zweck des deutschen Standard-Datenschutzmodells ist es, die datenschutzrechtlichen Grundprinzipien der Datenschutzgrundverordnung in technisch-organisatorische Maßnahmen zu transferieren und es so allen Beteiligten zu erleichtern, ihre Datenverarbeitung datenschutzkonform auszugestalten. Deswegen wirken sich einige der Gewährleistungsziele auch auf eine gemäß Art. 35 DSGVO vorzunehmende Datenschutzfolgenabschätzung aus. Zu nennen sind hier insbesondere die Ziele "Integrität", "Vertraulichkeit", "Nichtverkettung" und "Transparenz". Auch die Artikel-29-Datenschutzgruppe bezieht sich in ihren Ausführungen zur Datenschutzfolgenabschätzung auf die ISO/IEC-Normen zum Datenschutz. International tätige Konzerne, welche die Vorgaben der DSGVO und des Standard-Datenschutzmodells bei der Durchführung einer Datenschutzfolgenabschätzung umsetzen, haben daher ein genuines Interesse daran, dass diese Umsetzung nicht nur dem deutschen Standard-Datenschutzmodell, sondern auch internationalen Standards entspricht.

Dementsprechend können die bereits genannten Gewährleistungsziele mit den Prinzipien der ISO-Norm ISO/IEC 29100:2011 verknüpft werden. Die Gewährleistungsziele sind nicht gänzlich deckungsgleich, überschneiden sich jedoch an vielen Stellen und können daher einander zugeordnet werden (sogenanntes Mapping). In vielen Fällen enthalten die ISO-Normen mehr technische Bezüge. Explizite technische Ausführungen zum Standard-Datenschutzmodell wurden hingegen noch nicht veröffentlicht. Ein Rückgriff auf die ISO-Normen schon bei Einführung neuer Datenverarbeitungen erscheint daher naheliegend, um das Ziel des "privacy by design" zu erreichen.

Prozessvorgehen nach ISO 29134

Die ISO/IEC 29134:2017 orientiert sich an den Prinzipien von ISO/IEC 29100, sodass sie zu großen Teilen ebenfalls den Anforderungen des (deutschen) Standard-Datenschutzmodells entspricht. Für Konzerne bietet es sich daher, aufgrund der für sie in der Regel obligatorischen Datenschutzfolgenabschätzung an, zur Konzeption und Ausführung auch auf den international anerkannten Standard ISO 29134 zurückzugreifen. Diese Norm gibt Anwendern einen detaillierten Ablaufplan an die Hand. Es werden jeweils das zu erreichende Ziel, die benötigten Informationen und das zu erwartende Ergebnis beschrieben. Daraufhin werden die Handlungsmöglichkeiten aufgezeigt und eine Hilfestellung zur Implementierung des jeweiligen Punktes des Ablaufplans gegeben. Ähnlich wie die Gliederung der Datenschutzfolgenabschätzung in eine Vorbereitungs-, eine Bewertungs- und eine Maßnahmen-Phase unterteilt auch die ISO 29134 den Ablauf einer Datenschutzfolgenabschätzung in eine Planungs-, eine Durchführungs-, und eine Abschluss-Phase.

Danach muss zunächst eine Datenschutzfolgenabschätzung für eine erfolgreiche Durchführung angemessen vorbereitet werden. Neben einer Festlegung der zu erreichenden Ziele und des Umfangs der Datenschutzfolgenabschätzung muss auch ihre Notwendigkeit festgestellt werden. Sodann soll die Planung der Folgenabschätzung hinsichtlich Personal, Ressourcen, Ablauf und gegebenenfalls der Hinzuziehung der von der Datenverarbeitung betroffenen oder an ihr mitwirkenden Personen stattfinden. In der Durchführungsphase der Datenschutzfolgenabschätzung sollen die jeweiligen Verarbeitungsvorgänge, die personenbezogene Daten betreffen, identifiziert und das relevante Datenschutzniveau festgelegt werden. Danach erfolgt die Identifikation von Datenschutz-Risiken und deren Analyse hinsichtlich Schwere und Umfang, sowie die Vorbereitung von Abhilfemaßnahmen. Abschließend soll die Anfertigung und Veröffentlichung eines Reports zur jeweils durchgeführten Datenschutzfolgenabschätzung erfolgen. Außerdem sollen die erarbeiteten Abhilfemaßnahmen und gegebenenfalls weitere Änderungen in den Datenverarbeitungsvorgang implementiert, sowie die abgeschlossene Datenschutzfolgenabschätzung nochmals überprüft und evaluiert werden.

IT-Sicherheit: Menschliche Datenschutz-Fails
Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.
Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).
USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.
Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".
Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Das sollten Unternehmen jetzt tun

Die deutschen Datenschutzbehörden werden das Standard-Datenschutzmodell - beziehungsweise Teile davon - als Grundlage verwenden, um datenverarbeitende Stellen hinsichtlich der Datenschutzkonformität ihrer Verarbeitungen zu überprüfen. Hierzu gehört unter anderem die ordnungsgemäße Durchführung und Dokumentation von Datenschutzfolgenabschätzungen. Zur Vorbereitung hierauf kann, aufbauend auf den vorgestellten Verknüpfungen und des Ablaufplans der ISO 29134, ein entsprechendes Formular zur Datenschutzfolgenabschätzung entwickelt werden, das aufzeigt, an welcher Stelle die ISO-Normen mit den Gewährleistungszielen des Standard-Datenschutzmodells und damit den Vorgaben der EU-Datenschutzgrundverordnung korrelieren.

Bei der Datenverarbeitung im Konzern ist eine Datenschutzfolgenabschätzung im Zweifel immer durchzuführen. In Anbetracht der zunehmenden Kontrolltätigkeit der Aufsichtsbehörden sollte daher mit Hilfe von Datenschutzfolgenabschätzungen und den zugehörigen Maßnahmen (zum Beispiel der Verzeichniserstellung gem. Art. 30 DSGVO) der unternehmensinterne Datenschutz auf eine solide Basis gestellt werden. Nur so können Risiken für Daten frühzeitig erkannt, Gegenmaßnahmen eingeleitet und diese Datenschutz-Compliance gegenüber Behörden, betroffenen Personen und der Öffentlichkeit kommuniziert und nachgewiesen werden. Die Verknüpfung mit ISO-Normen und Standard-Datenschutzmodell-Gewährleistungszielen ist dabei ein wichtiger Teil des "Puzzles". Der Rückgriff auf die ISO-Normen kann bereits jetzt helfen, Datenschutz-Management-Tools und Konzepte für Datenschutzfolgenabschätzungen im Rahmen des Konzerndatenschutzes nicht nur auf europäischer, sondern auch auf internationaler Ebene zukunftssicher zu gestalten.

Sie möchten mehr zum Thema erfahren? Dann sollten Sie sich auch den wissenschaftlichen Beitrag zur Datenschutzfolgenabschätzung nicht entgehen lassen. Hier geht's zur Leseprobe. (fm)