Datenschutzfolgenabschätzung

Das müssen Sie noch zur DSGVO wissen

08.08.2017
Von  und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.

Mapping mit internationalen ISO-Standards

Der Zweck des deutschen Standard-Datenschutzmodells ist es, die datenschutzrechtlichen Grundprinzipien der Datenschutzgrundverordnung in technisch-organisatorische Maßnahmen zu transferieren und es so allen Beteiligten zu erleichtern, ihre Datenverarbeitung datenschutzkonform auszugestalten. Deswegen wirken sich einige der Gewährleistungsziele auch auf eine gemäß Art. 35 DSGVO vorzunehmende Datenschutzfolgenabschätzung aus. Zu nennen sind hier insbesondere die Ziele "Integrität", "Vertraulichkeit", "Nichtverkettung" und "Transparenz". Auch die Artikel-29-Datenschutzgruppe bezieht sich in ihren Ausführungen zur Datenschutzfolgenabschätzung auf die ISO/IEC-Normen zum Datenschutz. International tätige Konzerne, welche die Vorgaben der DSGVO und des Standard-Datenschutzmodells bei der Durchführung einer Datenschutzfolgenabschätzung umsetzen, haben daher ein genuines Interesse daran, dass diese Umsetzung nicht nur dem deutschen Standard-Datenschutzmodell, sondern auch internationalen Standards entspricht.

Dementsprechend können die bereits genannten Gewährleistungsziele mit den Prinzipien der ISO-Norm ISO/IEC 29100:2011 verknüpft werden. Die Gewährleistungsziele sind nicht gänzlich deckungsgleich, überschneiden sich jedoch an vielen Stellen und können daher einander zugeordnet werden (sogenanntes Mapping). In vielen Fällen enthalten die ISO-Normen mehr technische Bezüge. Explizite technische Ausführungen zum Standard-Datenschutzmodell wurden hingegen noch nicht veröffentlicht. Ein Rückgriff auf die ISO-Normen schon bei Einführung neuer Datenverarbeitungen erscheint daher naheliegend, um das Ziel des "privacy by design" zu erreichen.

Prozessvorgehen nach ISO 29134

Die ISO/IEC 29134:2017 orientiert sich an den Prinzipien von ISO/IEC 29100, sodass sie zu großen Teilen ebenfalls den Anforderungen des (deutschen) Standard-Datenschutzmodells entspricht. Für Konzerne bietet es sich daher, aufgrund der für sie in der Regel obligatorischen Datenschutzfolgenabschätzung an, zur Konzeption und Ausführung auch auf den international anerkannten Standard ISO 29134 zurückzugreifen. Diese Norm gibt Anwendern einen detaillierten Ablaufplan an die Hand. Es werden jeweils das zu erreichende Ziel, die benötigten Informationen und das zu erwartende Ergebnis beschrieben. Daraufhin werden die Handlungsmöglichkeiten aufgezeigt und eine Hilfestellung zur Implementierung des jeweiligen Punktes des Ablaufplans gegeben. Ähnlich wie die Gliederung der Datenschutzfolgenabschätzung in eine Vorbereitungs-, eine Bewertungs- und eine Maßnahmen-Phase unterteilt auch die ISO 29134 den Ablauf einer Datenschutzfolgenabschätzung in eine Planungs-, eine Durchführungs-, und eine Abschluss-Phase.

Danach muss zunächst eine Datenschutzfolgenabschätzung für eine erfolgreiche Durchführung angemessen vorbereitet werden. Neben einer Festlegung der zu erreichenden Ziele und des Umfangs der Datenschutzfolgenabschätzung muss auch ihre Notwendigkeit festgestellt werden. Sodann soll die Planung der Folgenabschätzung hinsichtlich Personal, Ressourcen, Ablauf und gegebenenfalls der Hinzuziehung der von der Datenverarbeitung betroffenen oder an ihr mitwirkenden Personen stattfinden. In der Durchführungsphase der Datenschutzfolgenabschätzung sollen die jeweiligen Verarbeitungsvorgänge, die personenbezogene Daten betreffen, identifiziert und das relevante Datenschutzniveau festgelegt werden. Danach erfolgt die Identifikation von Datenschutz-Risiken und deren Analyse hinsichtlich Schwere und Umfang, sowie die Vorbereitung von Abhilfemaßnahmen. Abschließend soll die Anfertigung und Veröffentlichung eines Reports zur jeweils durchgeführten Datenschutzfolgenabschätzung erfolgen. Außerdem sollen die erarbeiteten Abhilfemaßnahmen und gegebenenfalls weitere Änderungen in den Datenverarbeitungsvorgang implementiert, sowie die abgeschlossene Datenschutzfolgenabschätzung nochmals überprüft und evaluiert werden.

Das sollten Unternehmen jetzt tun

Die deutschen Datenschutzbehörden werden das Standard-Datenschutzmodell - beziehungsweise Teile davon - als Grundlage verwenden, um datenverarbeitende Stellen hinsichtlich der Datenschutzkonformität ihrer Verarbeitungen zu überprüfen. Hierzu gehört unter anderem die ordnungsgemäße Durchführung und Dokumentation von Datenschutzfolgenabschätzungen. Zur Vorbereitung hierauf kann, aufbauend auf den vorgestellten Verknüpfungen und des Ablaufplans der ISO 29134, ein entsprechendes Formular zur Datenschutzfolgenabschätzung entwickelt werden, das aufzeigt, an welcher Stelle die ISO-Normen mit den Gewährleistungszielen des Standard-Datenschutzmodells und damit den Vorgaben der EU-Datenschutzgrundverordnung korrelieren.

Bei der Datenverarbeitung im Konzern ist eine Datenschutzfolgenabschätzung im Zweifel immer durchzuführen. In Anbetracht der zunehmenden Kontrolltätigkeit der Aufsichtsbehörden sollte daher mit Hilfe von Datenschutzfolgenabschätzungen und den zugehörigen Maßnahmen (zum Beispiel der Verzeichniserstellung gem. Art. 30 DSGVO) der unternehmensinterne Datenschutz auf eine solide Basis gestellt werden. Nur so können Risiken für Daten frühzeitig erkannt, Gegenmaßnahmen eingeleitet und diese Datenschutz-Compliance gegenüber Behörden, betroffenen Personen und der Öffentlichkeit kommuniziert und nachgewiesen werden. Die Verknüpfung mit ISO-Normen und Standard-Datenschutzmodell-Gewährleistungszielen ist dabei ein wichtiger Teil des "Puzzles". Der Rückgriff auf die ISO-Normen kann bereits jetzt helfen, Datenschutz-Management-Tools und Konzepte für Datenschutzfolgenabschätzungen im Rahmen des Konzerndatenschutzes nicht nur auf europäischer, sondern auch auf internationaler Ebene zukunftssicher zu gestalten.

Sie möchten mehr zum Thema erfahren? Dann sollten Sie sich auch den wissenschaftlichen Beitrag zur Datenschutzfolgenabschätzung nicht entgehen lassen. Hier geht's zur Leseprobe. (fm)