Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
31. August 2018

Methoden der Datenschutz-Folgenabschätzung

DP+
Methoden der Datenschutz-Folgenabschätzung
Bild: iStock.com / 4X-image
5,00 (1)
DSFA in der Praxis
Die DSGVO hat die DSFA eingeführt, um bei Hochrisikoverarbeitungen die Grundrechte der Bürger besser zu schützen. Während die Listen von Verarbeitungen, die eine Folgenabschätzung nötig machen, zunehmend vorhanden sind, fragt sich weiterhin, wie sich eine DSFA konkret durchführen lässt.

Wann ist eine DSFA durchzuführen

Verantwortliche müssen eine Datenschutz-Folgenabschätzung (DSFA) nicht immer, sondern nur bei einem wahrscheinlich hohen Risiko durchführen.

Eine DSFA ist allerdings nicht isoliert zu betrachten. Daher müssen Verantwortliche zunächst weitere Anforderungen der DSGVO einbeziehen:

  • Privacy by Design: Die Grundsätze nach Artikel 5 Abs. 1 DSGVO wie Datensparsamkeit, Zweckbindung und die Gewährung der Betroffenenrechte müssen Verantwortliche mittels technischer und organisatorischer Maßnahmen (TOMs) umsetzen. Dann gilt es, die Risiken zu ermitteln, die eine nicht angemessene Umsetzung dieser Gewährleistungsziele mit sich bringt. Die zeitliche Betrachtung/Weiterentwicklung wird dann als Privacy by Design (Art. 25 DSGVO) verstanden. Ist das Restrisiko wahrscheinlich „hoch“, ist eine DSFA Pflicht.
  • Sicherheit der Verarbeitung: 32 DSGVO regelt den Schutz der Vertraulichkeit sowie der Verfügbarkeit und Integrität von Daten, IT-Systemen und (Geschäfts-)Prozessen. Ist dieser Schutz für jede Verarbeitungstätigkeit korrekt aufgesetzt (ggf. mehrfach iterativ – Stichwort Plan–Do–Check–Act, also im PDCA-Zyklus), lässt sich das Restrisiko bewerten. Ist dieses wahrscheinlich „hoch“, dann ist eine DSFA Pflicht

Arbeiten Verantwortliche bei diesen beiden Punkten – Sicherheit der Verarbeitung und Privacy by Design – sauber, wird es in einer Vielzahl von Verarbeitungstätigkeiten zu keinem hohen Restrisiko mehr kommen. Damit ist die Verpflichtung, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, eher die Ausnahme als die Regel.

Tritt einer der Ausnahmefälle ein, stellt sich die Frage, wie eine Datenschutz-Folgenabschätzung (DSFA) ganz konkret vonstatten geht. Mittlerweile gibt es bereits einige Methoden und Prinzipien, wie eine Folgenabschätzung durchzuführen ist. Diese stellen wir im Folgenden kurz vor.

Wann ist eine DSFA verpflichtend

Art. 35 Abs. 3 DSGVO zeigt nur drei Beispiele auf, bei denen eine DSFA verpflichtend ist: Profiling, umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten und systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Allen gemein ist, dass sie – trotz Anwendung von Art. 32 und Art. 25 DSGVO – ein wahrscheinlich hohes (Rest-)Risiko haben. Denn die Verarbeitung ist zu komplex, algorithmisch gesteuert oder zu umfangreich, als dass sich die Risiken, die mit ihr verbunden sind, über Standardmaßnahmen angemessen und nachweisbar eindämmen ließen.

Neben den Fällen, die Art. 35 Abs. 3 DSGVO nennt, finden sich weitere Verarbeitungsbeispiele, bei denen Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchführen müssen, in den Muss-Listen der Aufsichtsbehörden (auch Blacklists genannt, https://www.lda.bayern.de/de/dsfa.html).

Wie erstellt man eine DSFA – Blaupause der DSK

Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat in ihrem Kurzpapier Nr. 5 (http://ogy.de/dsk-kpnr-5) deutschlandweit abgestimmte Rahmenbedingungen veröffentlicht, die eine Datenschutz-Folgenabschätzung (DSFA) einzuhalten hat. Eine DSFA besteht demnach aus vier Schritten:

1. Vorbereitung

Für eine Folgenabschätzung ist ein DSFA-Team zuständig. Es setzt sich z.B. aus Informatikern, Vertretern der Fachabteilung und Juristen zusammen.

Dieses Team muss zusammengestellt und die gemeinsame Arbeit geplant werden. Insbesondere muss das Team wissen, was es in der Datenschutz-Folgenabschätzung betrachten soll (Scope) – meist einzelne Verarbeitungstätigkeiten.

Auch eine rechtliche Analyse der Rechtsgrundlagen sowie der Verhältnismäßigkeit findet an dieser Stelle statt.

2. Durchführung

Der Kern einer DSFA ist eine systematische und feingranulare Risikobeurteilung. Dazu gilt es, Risikoquellen – z.B. Cyberkriminelle, Dienstleister, Vertrieb, Administratoren, … – für den Einzelfall festzulegen und bei der Entscheidung, welche Schäden möglich sind (= Risiko), zu berücksichtigen.

Hierfür ist es nötig, die Verarbeitungstätigkeit im Einzelnen ganz genau zu beschreiben und sämtliche Dokumente und Informationen zusammenzutragen.

Nachdem das Team die Datenschutzrisiken im Detail bestimmt hat, muss es geeignete technische und organisatorische Maßnahmen (TOMs) planen sowie ihre Wirkung auf eine Risikosenkung abschätzen. Sämtliche bis dahin ermittelten Ergebnisse sind formal zu dokumentieren und ergeben den DSFA-Bericht.

3. Umsetzung

Da nun alle Daten für eine angemessene Risikoeindämmung auf dem Tisch liegen, kann die Umsetzung der TOMs beginnen.

Ist getestet, dass die Maßnahmen wirksam sind, schließt eine formale Freigabe des Verantwortlichen – z.B. der Geschäftsleitung – die Folgenabschätzung ab. Die Verarbeitung personenbezogener Daten kann starten.

Bei hohem Restrisiko Aufsicht fragen

Achtung: Bei einem hohen Restrisiko ist die Aufsichtsbehörde zu kontaktieren. Sie entscheidet letztendlich, wie mit dieser Hochrisikosituation umzugehen ist.

4. Überprüfung der DSFA

Eine DSFA ist keine einmalige Sache, sondern ist regelmäßig neu zu bewerten und anzupassen. Die Folgenabschätzung ist also ein Prozess zum Umgang mit Datenschutzrisiken.

Das Kurzpapier der DSK stellt keine konkrete Methode vor. Es gibt aber Leitplanken vor, innerhalb derer sich jede DSFA bewegen muss – es lohnt also immer, das Kurzpapier begleitend auf dem Tisch zu haben.

Standard-Datenschutzmodell

Das Standard-Datenschutzmodell (SDM) haben einige deutsche Aufsichtsbehörden entwickelt. Die Datenschutzkonferenz hat es 2018 in Version 1.1 verabschiedet (http://ogy.de/dsk-sdm; siehe auch Datenschutz PRAXIS Ausgabe 03/17, S. 9).

Das SDM zielt auf die Frage ab, wie sich der technische Datenschutz auf Basis rechtlicher Vorgaben systematisch umsetzen lässt. Damit ist es auch geeignet, um eine DSFA durchzuführen. Denn bei der DSFA geht es ebenfalls darum, ein Risiko mittels technischer und organisatorischer Maßnahmen angemessen einzudämmen.

Beachten Sie beim Standard-Datenschutzmodell: Es geht davon aus, dass Verantwortliche die Security-Risiken (maßgeblich Art. 32 DSGVO) schon durch andere Methoden angemessen eingedämmt haben.

Dafür eignen sich z.B.

  • IT-Grundschutz/ISO-27001 (für Behörden und größere Unternehmen)
  • ISIS-12 für mittelständische Unternehmen
  • ISA+ für Kleinunternehmen oder als Einstieg in den Bereich Sicherheit

Das SDM baut auf den sogenannten Gewährleistungszielen auf. Sie finden sich in der DSGVO in den Grundsätzen nach Art. 5 Abs. 1, der Rechenschaftspflicht nach Art. 5 Abs. 2 sowie den Betroffenenrechten nach Kapitel 3 DSGVO.

In Version 1.1 des SDM ist der Begriff des „Risikos“ hinzugekommen. Er ergänzt die bisherigen Schutzziele. Das Verhältnis zwischen Risiko und Schutzbedarf ist allerdings noch nicht abschließend definiert. Gerade mit Blick auf die besonderen Arten personenbezogener Daten nach Art. 9 DSGVO müssen Verantwortliche darauf achten, nicht automatisch einen hohen Schutzbedarf anzunehmen: Erst das Risiko, dann der Schutzbedarf.

Damit lässt sich das SDM auf folgende Art und Weise verwenden, um eine Datenschutzfolgenabschätzung durchzuführen:

  1. Über das SDM lassen sich die Datenschutzrisiken bezüglich der Nichteinhaltung der Gewährleistungsziele – unter Berücksichtigung der Daten und IT-Systeme – für die zu bewertende Verarbeitungstätigkeit bestimmen.
  2. Es erfolgt ein Mapping des Datenschutzrisikos auf die Schutzziele.
  3. Die technischen und organisatorischen Maßnahmen der Bausteine lassen sich passend zum Schutzbedarf anwenden.
  4. Eine Restrisikobestimmung bewertet die Notwendigkeit weiterer TOMs.

Das SDM ist keine vollständige Beschreibung, wie man eine Datenschutz-Folgenabschätzung nach DSGVO durchführt. Sie ist eine konkret anzuwendende Methode, um TOMs auszuwählen.

Deswegen ist es empfehlenswert, die Vorgaben des DSK-Kurzpapiers Nr. 5 ebenfalls anzuwenden.

ISO 29134 – Privacy Impact Assessment (PIA)

Mit der ISO-Norm 29134 gibt es bereits einen internationalen Standard zur Durchführung einer Datenschutzfolgenabschätzung. In groben Zügen geht die ISO nach den im Folgenden vorgestellten vier Schritten vor.

1. Schwellenwertanalyse

Die Schwellenwertanalyse ermittelt, ob eine DSFA durchgeführt oder aktualisiert werden muss. Obwohl die Norm bereits einige Faktoren benennt, z.B. neue Technologien, sind die Anforderungen der DSGVO maßgeblich, also das hohe Risiko für die Rechte und Freiheiten.

2. Vorbereitung

Zur Vorbereitung gehört es, ein DSFA-Team zusammenzustellen und mit ausreichend Ressourcen (z.B. Zeit, Geld, …) auszustatten. Zudem sind der Prüfumfang festzulegen sowie die beteiligten Interessengruppen wie Betroffene (z.B. Betriebsrat), die Fachabteilung oder Auftragsverarbeiter einzubinden.

3. Durchführung

Bei der Durchführung geht es dann ans Eingemachte. Zentral bleibt wieder, das Risiko systematisch zu ermitteln – mit speziellem Blick auf die Ursachen des Risikos. Das geschieht auf Basis einer detaillierten Systembeschreibung und den dazu passende TOMs, um das Risiko einzudämmen.

4. Nachbereitung

An dieser Stelle entsteht der formale DSFA-Bericht. Er umfasst sowohl die Rahmenbedingungen als auch die geplanten technischen und organisatorischen Maßnahmen samt Restrisikobewertung. Dieser Bericht ist dann die Basis für die Umsetzung der Maßnahmen und ggf. die Grundlage, um die Aufsichtsbehörde zu konsultieren, falls mindestens ein Restrisiko weiterhin als hoch eingestuft wird.

Wer bei der Betrachtung der ISO 29134 eine gewisse Ähnlichkeit zum DSK-Kurzpapier Nr. 5 feststellt, irrt nicht. Die deutschen Aufsichtsbehörden haben darauf geachtet, dass sich sowohl das SDM als auch die ISO 29134 darin wiederfinden.

Der CNIL-Ansatz

Die französische Aufsichtsbehörde CNIL hat sich schon frühzeitig mit der Methode einer Datenschutz-Folgenabschätzung beschäftigt und den Ansatz auch in die DSGVO überführt. Neben einer Beschreibung der grundlegenden Methode (http://ogy.de/cnil-dsfa) sind Checklisten und Maßnahmenkataloge (auf Englisch) frei verfügbar.

Vom Grundsatz her finden sich viele Ansätze des CNIL-Modells in der ISO 29134 wieder. Das ist nicht verwunderlich, da die französische Aufsichtsbehörde aktiv daran beteiligt war, diese ISO-Norm zu erstellen.

Bei der CNIL-Methode fällt der starke Security-Ansatz auf. Der risikoorientierte Ansatz bezieht sich ausschließlich auf die Security-Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität. Dies führt zu der Frage, welche Risiken die Methode berücksichtigt, um zu ermitteln, ob eine DSFA notwendig ist.

Sind es nur die Risiken, die sich z.B. aus der Cyberkriminalität ergeben? Oder erfasst die Methode z.B. auch Risiken einer Zweckdehnung (etwa durch Kundenlisten in der Marketingabteilung)?

Die Grundsätze nach Artikel 5 Abs. 1, die nicht der Security zuzurechnen sind, müssen Verantwortliche nach dem CNIL-Ansatz zwar auch behandeln. Die Aufsichtsbehörde sieht sie aber ausdrücklich als nicht risikoorientiert an. Das betrifft etwa die Datenminimierung.

Dies bedeutet von der Theorie her, dass technische und organisatorische Maßnahmen immer vollständig und sehr umfassend Anwendung finden müssen, um diese Grundsätze zu gewährleisten – ungeachtet dessen, wie hoch das Risiko für die verarbeiteten Daten ist.

Dies muss für den Betroffenen nicht nur nachteilig sein. Es kann aber zu deutlich höheren Implementierungskosten für den Verantwortlichen führen.

Seit Kurzem bietet die CNIL ein frei verfügbares Software-Tool an, mit dem sich Risiken modellieren lassen und eine DSFA möglich ist. Eine ausführliche Vorstellung des Tools lesen Sie in Datenschutz PRAXIS 05/18, S. 14.

Fazit: Welche Methode einsetzen?

Verantwortliche in Deutschland haben faktisch betrachtet Stand heute die Auswahl zwischen zwei Ansätzen:

  • dem Standard-Datenschutzmodell und
  • einer korrekten Anwendung der ISO 29134.

Bei beiden Ansätzen ist es wichtig, das Datenschutzrisiko sorgfältig zu bestimmen und vom DSFA-Team eine ausführliche Systembeschreibung erstellen zu lassen. Auch gut vorstellbar (aber noch nicht vorhanden): eine DSFA mit ISO 29134 auf Basis des SDM.

Andreas Sachs

Andreas Sachs
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
DP
Andreas Sachs
Andreas Sachs ist Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA). Darüber hinaus leitet er das Referat Technischer Datenschutz und IT-Sicherheit beim BayLDA.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.