Datenschutzfolgeabschätzung (DSFA)
Je nachdem, welche Daten Sie verarbeiten, müssen Sie im Datenschutz nach Art. 35 DSGVO eine Risikoanalyse durchführen, um festzustellen, welches Schutzniveau die Daten der Betroffenen benötigen und ob Sie das erreicht haben.
Wann ist eine DSFA notwendig?
Die DSK hat eine Schwarze Liste mit Verfahren herausgegeben, für die regelmäßig eine DSFA erforderlich ist. Dort sind die Regelbeispiele aus Art. 35 Abs. 3 DSGVO schon eingearbeitet.
Typische Fälle sind
-
Videoüberwachung,
-
Verarbeitung von Daten in einem „unsicheren Drittland“ außerhalb des EWR ohne Angemessenheitsbeschluss, wie etwa USA*, Indien oder Australien (häufig durch Dienstleister, Subunternehmer) oder
-
Einrichtung einer Meldestelle nach HinSchG, LkSG, …
* Seit 10. Juli 2023 gelten die Vereinigten Staaten nur dann als sicherer Drittstaat, wenn ein dort ansässiger Dienstleister sich beim EU-US Data Privacy Framework/Transatlantic Privacy Framework (TADPF) für die spezifische Datenverarbeitung (HR oder Non-HR) hat registrieren lassen.
Wenn das alles keine Klarheit bringt, müssen Sie Art. 35 Abs. 1 Satz 1 DSGVO selbst zu Rate ziehen und eine individuelle Entscheidung treffen. Dazu müssen Sie beurteilen, ob „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten“ besteht. Art. 4 Nr. 12 DSGVO beschreibt als maßgebliches Risiko eine Sicherheitsverletzung, die zur Vernichtung, zum Verlust, zur Veränderung, zum unbefugten Zugang oder der Offenlegung personenbezogener Daten führt.
Wie wird das Risiko eingeschätzt?
Das Risiko ist die Kombination aus Eintrittswahrscheinlichkeit und Auswirkungsgrad (Eintrittsschwere).
Das passende Schaubild zur Veranschaulichung finden Sie weiter unten im Beitrag.
Ein mittelständischer Maschinenbaubetrieb verarbeitet wenige und wenig sensible Daten (zwei Mal begrenzt=2; 2x2=4 – gelber Bereich), während eine Krankenversicherung viele und hoch sensible Daten verarbeitet (maximal=4), deren Bekanntwerden schwere Folgen (maximal=4) nach sich ziehen kann (4x4=16 – roter Bereich).
Falls Sie für einen Teilbereich ein hohes Risiko ermitteln, müssen Sie nach Art. 35 DSGVO versuchen, bessere TOM zu ermitteln, um das Risiko zu verringern. Wenn das Risiko trotzdem hoch bleibt, müssen Sie ggf. Meldung beim Landesdatenschutzbeauftragten erstatten und vielleicht von dieser Verarbeitung ganz absehen.
Flexibler Standard
Der anerkannte Standard für eine solche DSFA ist DIN EN ISO/IEC 29134:2020-09.
Dieser Standard ist sehr flexibel: „Wenn z. B. angenommen wird, dass die Auswirkungen nur Mitarbeiter der Organisation betreffen … kann sich die DSFA nur auf die Einbindung von Arbeitnehmervertretern beschränken und mit verhältnismäßig geringer Abstufung erfolgen.“ (DIN EN ISO/IEC 29134/2020-09, Seite 14)
Datenschutzbeauftragter?
Nach § 38 BDSG führt die Notwendigkeit einer DSFA automatisch dazu, dass Sie einen Datenschutzbeauftragten bestellen müssen. Er kann Sie über die konkrete Ausgestaltung der DSFA beraten.
Weiterführend
-
Beuth: DIN EN ISO/IEC 29134:2020-09 (deutsche Fassung, 61 Seiten)
-
CNIEL: PIA-Software (mehrsprachiges, interaktives Werkzeug zum Erstellen einer DSFA für Experten)
Autor: Thomas Hofmann, Data Privacy Legal Consultant, 08.12.2023
