Gratis
14. März 2019 - Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung: Aufsichtsbehörde gibt Tipps

Drucken

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht eine „Bayerische Blacklist“ zur Datenschutz-Folgenabschätzung mit umfangreichem Begleitmaterial.

Datenschutz-Folgeabschätzung bei hohem Risiko der Datenverarbeitung Eine Datenschutz-Folgenabschätzung ist nur unter besonderen Umständen notwendig (Bild: Stadtratte / iStock / GettyImages)

Zu den Neuerungen in der Datenschutz-Grundverordnung (DSGVO), mit denen auch erfahrene Datenschutzbeauftragte zu kämpfen haben, gehört die Datenschutz-Folgenabschätzung (DSFA).

Denn diese existierte im alten Recht in dieser Form nicht. Sie ist nur unter ganz besonderen Umständen notwendig. Allerdings gehört im Vorfeld eine Prüfung dazu, ob sie nötig ist oder nicht.

Besonderes Risiko erfordert Abschätzung der Folgen

Bringt eine Datenverarbeitung ein hohes Risiko mit sich, das Einfluss auf die Rechte und Freiheiten einer natürlichen Person hat, muss die verantwortliche Stelle eine Folgenabschätzung durchführen.

Dabei sind die sich möglicherweise ergebenden Risiken in einer strukturierten Form zu beschreiben. Gegenübergestellt werden den Risiken technische und organisatorische Maßnahmen, die diese Risiken minimieren sollen.

Dabei ist die DSFA zwingend VOR der Verarbeitung durchzuführen.

Identifizierung besonderer Risiken ist problematisch

Über die Frage, ob ein besonders hohes Risiko bei der Verarbeitung der Daten besteht, können durchaus unterschiedliche Ansichten herrschen. Als Orientierung dient beispielsweise die „Blacklist“  der DSK. Für Behörden in Bayern steht nun seit Kurzem eine „Bayerische Blacklist“ zur Verfügung.

Blacklists führen die Verarbeitungen auf, für die Verantwortliche auf jeden Fall eine DSFA durchführen müssen.

Zu den Vorteilen der beiden Listen gehört ohne Zweifel, dass hier jeweils konkrete Beispiele genannt sind. Außerdem ist davon auszugehen, dass die Listen auch in Zukunft aktualisiert werden.

Orientierungshilfe für DSFA und PIA-Software

Der Bayerische Landesbeauftragte für den Datenschutz in Bayern ergänzte die bereits Mitte Mai 2018 veröffentlichte Orientierungshilfe „Datenschutz-Folgenabschätzung“ um ein ausführliches Arbeitspapier zur Methodik.

Da es derzeit noch wenig konkrete Arbeitshilfen rund um das Thema DSFA gibt, lohnt sich die Lektüre auch für Verantwortliche und Datenschutzbeauftragte in anderen Organisationen.

Enthalten ist in den Ausführungen eine Fallstudie, die beispielhaft zeigt, wie eine Datenschutz-Folgenabschätzung mit Unterstützung durch IT erarbeitet wird.

Die Fallstudie setzt das von der französischen Datenschutz-Aufsichtsbehörde herausgegebenen PIA-Tool ein.

Diese Software steht jetzt auch in einer deutschen Version auf der Seite https://www.datenschutz-bayern.de in der Rubrik „Datenschutzreform 2018“ zum kostenlosen Download bereit.

Stephan Lamprecht