Datenschutzfolgenabschätzung

Das müssen Sie noch zur DSGVO wissen

08.08.2017
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Wir sagen Ihnen, was die Datenschutzfolgenabschätzung ist, wer sie wann braucht und was die ISO-Norm 29134 damit zu tun hat.

Mit der am 25.5.2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DSGVO) wird unter anderem die Datenschutzfolgenabschätzung eingeführt. Die Artikel-29-Datenschutzgruppe hat hierzu Hinweise veröffentlicht. Zudem bietet es sich an, das von den Aufsichtsbehörden entwickelte Standard-Datenschutzmodell; sowie die ISO-Normen 29100 und 29134 bei der Datenschutzfolgenabschätzung zu Grunde zu legen.

Mit der DSGVO wird die Datenschutzfolgenabschätzung eingeführt. Wir sagen Ihnen, was Sie dazu wissen müssen.
Mit der DSGVO wird die Datenschutzfolgenabschätzung eingeführt. Wir sagen Ihnen, was Sie dazu wissen müssen.
Foto: oatawa - shutterstock.com

Standard-Datenschutz, ISO 29100 und 29134

Das "Standard-Datenschutzmodell" der deutschen Datenschutzaufsichtsbehörden soll als Grundlage dienen, die sowohl Behörden als auch Unternehmen bei der Umsetzung der DSGVO etwas "an die Hand gibt". Hierauf kann auch für Datenschutzfolgenabschätzungen zurückgegriffen werden. International existieren mit Normen der ISO (International Organization for Standardization) und der IEC (International Electrotechnical Commission) im Datenschutz und bei Datenschutzfolgenabschätzun-gen auf internationaler Ebene Leitlinien zur Vereinheitlichung der Vorgehensweise. Die ISO/IEC-Norm 29100:2011 stellt (vergleichbar mit dem deutschen Standard-Datenschutzmodell) Prinzipien auf, die im Datenschutz allgemein gelten und bei jeder Datenverarbeitung zu beachten sein sollen. Die ISO/IEC 29134:2017 beschreibt detailliert den Ablauf einer Datenschutzfolgenabschätzung von der Vorbereitungs- über die Durchführungs- bis hin zur Nachbereitungs- und Report-Phase.

Wann ist eine Datenschutzfolgenabschätzung Pflicht?

Eine Datenschutzfolgenabschätzung ist nach Art. 35 DSGVO immer dann erforderlich, wenn durch die jeweilige Datenverarbeitung voraussichtlich hohe Risiken für die Rechte und Freiheiten natürlicher Personen drohen. Die in Art. 35 Abs. 3 DSGVO genannten Kategorien an Datenverarbeitungen werden vom Gesetzgeber stets als risikobehaftet angesehen, sodass eine Datenschutzfolgenabschätzung zwingend durchzuführen ist.

Die Aufzählung ist jedoch nicht abschließend. Vielmehr kann auch in anderen "risikoreichen" Fällen eine Datenschutzfolgenabschätzung durch den Verantwortlichen durchzuführen sein. Das Kriterium "hohes Risiko" wird in der Datenschutzgrundverordnung jedoch nicht explizit definiert, sodass Unklarheiten bei der genauen Bestimmung dieses Kriteriums verbleiben. Deshalb hat die Artikel-29-Datenschutzgruppe (ein unabhängiges Beratungsgremium der Europäischen Kommission zu Themen rund um den Datenschutz) Leitlinien und Kriterien vorgeschlagen, wann ein hohes Risiko gegeben und wann eine Datenschutzfolgenabschätzung erforderlich sein soll.

Sie schlägt als Daumenregel vor, dass erst bei einer Datenverarbeitung, die mindestens zwei der in ihrer Leitlinie genannten Risikokriterien (z. B. "Datenverarbeitung in großem Umfang", "Datentransfer außerhalb der EU" etc.) erfüllt, ein "hohes Risiko" im Sinne des Art. 35 Abs. 1 DSGVO anzunehmen und daher eine Datenschutzfolgenabschätzung durchzuführen sei. Es wird aber zugleich darauf hingewiesen, dass in Ausnahmefällen schon das Vorliegen nur eines Kriteriums zur Notwendigkeit einer Datenschutzfolgenabschätzung führen kann. Dies führt dazu, dass bei Zweifeln an der Erforderlichkeit der Durchführung einer Datenschutzfolgenabschätzung eine solche stets erfolgen sollte. Die GDPR (General Data Protection Regulation) gibt für die Vorgehensweise vor und während einer Datenschutzfolgenabschät-zung keine expliziten Anweisungen an die Hand. In Art. 35 Abs. 7 DSVO werden lediglich inhaltliche Mindestanforderungen beschrieben. Zu beachten ist zudem, dass auch die Nichtdurchführung einer Datenschutzfolgenabschätzung gemäß Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO ausführlich begründet werden muss.

Datenschutzfolgenabschätzung als Best Practice

Bei der Datenverarbeitung im Konzern wird stets eine Datenschutzfolgenabschätzung notwendig sein. Denn bei international tätigen Unternehmen mit tausenden von Arbeitnehmern und/oder Kunden sind regelmäßig zwei oder mehr der zuvor genannten Kriterien (auch aus der Leitlinie der Artikel-29-Datenschutzgruppe) erfüllt.

Daneben existieren aber noch weitere Gründe, die es sinnvoll erscheinen lassen, im Unternehmen eine Datenschutzfolgenabschätzung durchzuführen, selbst wenn diese grundsätzlich gar nicht notwendig wäre. Denn die verantwortliche Stelle ist ohnehin verpflichtet, gemäß Art. 30 DSGVO ein Verzeichnis der Datenverarbeitungsvorgänge anzulegen. Von dem hierfür erforderlichen Aufwand ist es nur noch ein kleiner Schritt zu einer vollständigen Datenschutzfolgenabschätzung beziehungsweise zur Erfüllung der Mindestanforderungen gem. Art. 35 Abs. 7 DSGVO. Denn nach der Vorbereitungs- und der Risikobewertungs-Phase folgt nur noch die Maßnahmenphase zur Eliminierung oder Eindämmung der festgestellten Risiken.

Der Mehraufwand ist - im Verhältnis zum möglichen Nutzen - eher gering. Denn durch eine ordnungsgemäß durchgeführte Datenschutzfolgenabschätzung erlangt der Verantwortliche Überblick über die unternehmensinternen Datenverarbeitungsvorgänge und mögliche Risiken. Dies ermöglicht ihm eine klare Kommunikation über den Datenschutz im Unternehmen gegenüber Behörden, die zukünftig immer wichtiger werden wird. Das LDA Bayern hat zum Beispiel angekündigt, im Rahmen der EU-Datenschutzgrundverordnung verstärkt zu prüfen. Zur Unterstützung der Umsetzung und Vorbereitung auf die GDPR hat das LDA Bayern vor Kurzem einen (fiktiven) Fragebogen veröffentlicht, den es an circa 150 Unternehmen in Bayern verschickt hat.

Neben Informationen zur Implementierung von Datenschutzfolgenabschätzungen werden auch Daten zu Verarbeitungsverzeichnissen und möglichen Auftragsverarbeitern abgefragt. Mit Hilfe einer Datenschutzfolgenabschätzung können also potentielle Risiken und Sicherheitslücken frühzeitig erkannt und behoben werden. Dies wiederum führt zur Vermeidung von Sanktionen durch die Aufsichtsbehörden, die teils sehr empfindlich (vgl. Art. 80 DSGVO, bis zu vier Prozent des weltweiten, vorjährigen Unternehmensgesamtumsatzes) sein können.