Datenschutz-Folgenabschätzung: Bayern veröffentlicht neue Orientierungshilfe

Mit einer DSFA Risiken aufspüren und bewältigen

„Der Umgang mit Risiken ist nicht immer einfach. Das ist auch im Datenschutzrecht so“, betont der Bayerische LfD Prof. Dr. Thomas Petri in seiner Pressemitteilung zur Veröffentlichung der neuen Orientierungshilfe zur Risikoanalyse und Datenschutz-Folgenabschätzung.

Damit „bayerische öffentliche Stellen Risiken bei der Verarbeitung personenbezogener Daten noch leichter aufspüren und bewältigen können“, fasst er auf 82 Seiten seine wichtigsten Erkenntnisse zusammen und

• stellt Methoden und Bausteine einer datenschutzrechtlichen Risikoanalyse vor,
• erläutert die Erarbeitung technisch-organisatorischer Maßnahmen
• und gibt Praxishinweise für die Durchführung von Risikoanalysen.

Risikoanalyse ist Kern der DSFA

Kern einer jeden Datenschutz-Folgenabschätzung (DSFA) ist deshalb die Risikoanalyse. „In einer Risikoanalyse werden Risiken identifiziert und bewertet“, erklärt der BayLfD im Vorwort seiner neuen Orientierungshilfe „Risikoanalyse und Datenschutz-Folgenabschätzung“ und betont: „Der rationale Umgang mit Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten ist ein Kernanliegen des Datenschutzrechts.“

Was eine Risikoanalyse genau ist, erläutert die Orientierungshilfe in der Einführung.

Technisch-organisatorische Maßnahmen ergreifen

„In vielen Fällen genügt (eine Risikoanalyse) nicht“, weiß jedoch Prof. Dr. Thomas Petri und sagt: „Dann müssen Verantwortliche technisch-organisatorische Maßnahmen treffen, um eine Verarbeitung datenschutzkonform durchführen zu können.“

Kapitel V der Orientierungshilfe erklärt deshalb die „Systematik der TOMs“.

Risikoanalysen müssen nicht aufwändig sein

In Kapitel VI der Orientierungshilfe gibt der Bayerische Landesbeauftragte für den Datenschutz schließlich „Praxishinweise für Risikoanalysen“. Sie reichen von der adressatengerechten Gestaltung über die Organisation der Durchführung bis hin zu typischen Optimierungs-Potenzialen.

Besonders wichtig ist dem BayLfD die Skalierbarkeit. Er stellt klar: „Risikoanalysen müssen nicht in jedem Fall aufwändig sein“. Auf Seite 59 stellt er deshalb in einer Abbildung die drei Ausbaustufen „S–Small“, „M–Medium“ und „L–Large“ vor.

Umfangreiches Informationspaket zur DSFA

Die neue Orientierungshilfe ist das Kernstück eines umfangreichen Informationspakets zum Thema „Risiko im Datenschutz“, das der BayLfD auf seiner Webseite in der Rubrik DSFA zur Verfügung stellt.

Hier finden Interessierte auch ein

• Set von Formularen, das die Durchführung von Risikoanalysen anleitet und eine ordnungsgemäße Dokumentation unterstützen soll,
• das Papier „Risikoanalyse und Datenschutz-Folgenabschätzung“, das die Methode und die Bausteine einer datenschutzrechtlichen Risikoanalyse vorstellt, die Erarbeitung technisch-organisatorischer Maßnahmen erläutert und Praxishinweise für die Durchführung von Risikoanalysen gibt.

DSFA hat konkreten Nutzen

„Mein Informationsangebot versetzt auch kleinere Staatsbehörden und Kommunen in die Lage, mit Datenschutzrisiken adäquat umzugehen. Es enthält Werkzeuge, die zu einem strukturierten und systematischen Vorgehen anleiten“, ist sich Prof. Dr. Thomas Petri sicher. „Wer sie ausprobiert, wird feststellen, dass eine Risikoanalyse kein theoretisches Glasperlenspiel ist, sondern einen ganz konkreten Nutzen hat.“

Mehr Informationen:

• Pressemitteilung des BayLfD vom 30. Mai 2022: https://www.datenschutz-bayern.de/presse/20220530_Risikoanalyse.html
• Orientierunghilfe „Risikoanalyse und Datenschutz-Folgenabschätzung“ vom Mai 2022: https://www.datenschutz-bayern.de/dsfa/OH_Risiko.pdf
• Orientierungshilfe Datenschutz-Folgenabschätzung vom Februar 2021: https://www.datenschutz-bayern.de/technik/orient/oh_dsfa.pdf
• Blacklist des BayLfD: https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf

Elke Zapf