Datenschutz-Folgenabschätzung (DSFA, DPIA)

Was ist eine Datenschutz-Folgenabschätzung (DSFA, DPIA)?

Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist ein Prozess, der Organisationen dabei helfen soll, festzustellen, wie sich Datenverarbeitungsaktivitäten, -systeme, -verfahren und -technologien auf den Datenschutz von Personen auswirken, und Risiken zu beseitigen, die gegen die Vorschriften verstoßen könnten.

Die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) ist eine Anforderung der EU-DSGVO (Datenschutz-Grundverordnung). Einige US-Bundesstaaten haben ähnliche Anforderungen an die Datenschutzbeurteilung eingeführt, und viele Organisationen führen DPIAs oder ähnliche Beurteilungen freiwillig als Teil ihrer Compliance-Prozesse durch.

Im Falle der Datenschutz-Grundverordnung müssen Unternehmen eine Datenschutz-Folgenabschätzung durchführen, wenn sie ein neues Projekt beginnen, das wahrscheinlich ein erhebliches Risiko für die personenbezogenen Daten von Personen darstellt (siehe auch DSGVO: Wann besteht ein hohes Risiko für den Datenschutz?). Organisationen, die es versäumen, eine Datenschutzprüfung durchzuführen, können mit Strafen belegt werden. Außerhalb der Europäischen Union unterliegen Organisationen, die Daten von EU-Bürgern verarbeiten oder verwalten, ebenfalls den Anforderungen der DSGVO, einschließlich der Datenschutz-Folgenabschätzung.

Der Zweck einer Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzungen sind ein wichtiger Teil der Gesamtstrategie einer Organisation für die Datenverwaltung. Viele Rechtsexperten halten die Durchführung von Datenschutz-Folgenabschätzungen für einen der wichtigsten Bestandteile der Datenschutz-Grundverordnung. Ihr Mandat verlangt von den Unternehmen, dass sie vor der Durchführung von Datenverarbeitungen, die hohe Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringen könnten, eine Datenschutz-Folgenabschätzung durchführen.

Die DPIA-Anforderung der DSGVO gilt auch für Unternehmen mit Sitz außerhalb der EU, die personenbezogene Daten von EU-Bürgern erheben und verarbeiten. Ob verpflichtend oder freiwillig, der Zweck einer Datenschutz-Folgenabschätzung besteht darin, Schwachstellen in den Systemen und Prozessen zu ermitteln, die Organisationen bei der Erfassung und Verarbeitung sensibler Daten verwenden.

Es gibt viele verschiedene Gründe für die Durchführung einer Datenschutz-Folgenabschätzung und Umstände, unter denen sie angemessen ist. Laut der Europäischen Kommission, dem gesetzgebenden Arm der EU, ist eine Datenschutz-Folgenabschätzung zumindest in diesen Fällen obligatorisch:

• Eine umfassende, systematische Bewertung der persönlichen Merkmale einer Person, einschließlich Profiling.
• Die Verarbeitung sensibler Daten in großem Umfang.
• Die systematische Überwachung von öffentlichen Bereichen in großem Umfang.

Was muss eine Datenschutz-Folgenabschätzung beinhalten?

Die Datenschutz-Grundverordnung und andere Datenschutzvorschriften geben kein genaues Format für eine Datenschutz-Folgenabschätzung vor und enthalten auch keine eindeutige DPIA-Vorlage. Organisationen können einen Ansatz verfolgen, der ihre Praktiken ergänzt und zu den bereits vorhandenen Rahmenbedingungen passt. Eine Datenschutz-Folgenabschätzung könnte jedoch die folgenden Schritte umfassen:

• Ermittlung eines Datenverarbeitungsvorgangs, bei dem ein hohes Risiko besteht, dass die Rechte und Freiheiten einer Person beeinträchtigt werden.
• Zeichnen Sie den Informationsfluss während des Prozesses auf, einschließlich Erhebung, Speicherung, Verwendung und Löschung.
• Liste aller Bedrohungen oder Schwachstellen bei der Erhebung personenbezogener Daten.
• Bewerten Sie für jedes Risiko, wie sich die Auswirkungen verringern lassen.
• Halten Sie die Ergebnisse der Datenschutz-Folgenabschätzung in einem Bericht fest, der von den Führungskräften unterzeichnet wird.
• Nutzen Sie den Bericht, um sicherzustellen, dass der Projektplan den Richtlinien entspricht, und um die Risiken für den Datenschutz zu minimieren.

Organisationen sollten bereits in der Anfangsphase der Planung eines Datenverarbeitungsprogramms eine Datenschutzfolgenabschätzung durchführen, aber die Bewertungen sollten fortlaufend erfolgen. Darüber hinaus sollten Datenschutz-Folgenabschätzungen das Risikomanagement berücksichtigen, insbesondere im Hinblick auf die Privatsphäre von Personen und das Potenzial, ihre personenbezogenen Daten zu gefährden. Obwohl eine DSFA nicht zeigen muss, dass alle Datenschutzrisiken beseitigt wurden, sollte sie Unternehmen dabei helfen, diese zu dokumentieren und zu bewerten, ob verbleibende Risiken gerechtfertigt sind.

Wer sollte an einer DPIA beteiligt sein?

Organisationen, die personenbezogene Daten verwalten, verfügen in der Regel über einen Verantwortlichen für den Datenschutz, die das DPIA-Verfahren überwachen und sicherstellen, dass es abgeschlossen wird. Unternehmen, die keinen expliziten Verantwortlichen haben, ernennen oft einen Mitarbeiter, der über das erforderliche Fachwissen verfügt, zum Datenschutzverantwortlichen während des Prozesses. Manche Organisationen haben inzwischen einen Chief Privacy Officer (CPO), der mit der Entwicklung und Umsetzung von Richtlinien zum Schutz von Mitarbeiter- und Kundendaten vor unbefugtem Zugriff betraut ist. Dies ist nicht zu Verwechseln mit dem betrieblichen Datenschutzbeauftragten, wie ihn die DSGVO für bestimmte Unternehmen vorschreibt. Die Rollen unterscheiden sich hierzulande grundlegend. Interessenskonflikte können da auch mit Bußgeldern belegt werden.

Nach der DSGVO ist eine Datenschutz-Folgenabschätzung die Aufgabe des für die Verarbeitung Verantwortlichen, das heißt des Unternehmens oder der Person, die die Methoden zur Erhebung und Verarbeitung von Daten festlegt. So muss beispielsweise eine Bank, die die Datenverarbeitung an einen Dienstleister auslagert, im Rahmen der Einhaltung der DSGVO dennoch eine Datenschutz-Folgenabschätzung durchführen.

Zu den anderen Fachleuten, die an einer Datenschutz-Folgenabschätzung teilnehmen, gehören die folgenden:

• Datenverantwortliche, die für eine regelkonforme Datenverarbeitung sorgen.
• Mitarbeitende für die Datensicherheit, die sich mit den Instrumenten und Richtlinien zum Schutz der Daten auskennen.
• Andere Mitarbeitende, die sich mit sensiblen Daten und Datenschutzrichtlinien auskennen und damit umgehen.

Oftmals werden auch externe Dienstleister und Berater bei der Datenschutz-Folgenabschätzung einbezogen.

Die Vorteile von Datenschutz-Folgenabschätzungen

Eine DSFA kann ein schwieriges und langwieriges Verfahren sein. Sie bieten jedoch eine Reihe von Vorteilen, selbst wenn sie in einem Land durchgeführt werden, in dem sie nicht obligatorisch sind. Zu den Vorteilen gehören die folgenden:

• Erfüllung der Konformitätsstandards. Die endgültigen DPIA-Ergebnisse können als entscheidender Beweis dafür dienen, dass die vorgeschriebenen Konformitätsstandards erfüllt werden.
• Einbindung der Mitarbeiter in den Datenschutz. Da Datenschutz-Folgenabschätzungen eine kollektive Anstrengung sind, stellt das Verfahren sicher, dass die Mitarbeiter die Datenschutzanforderungen kennen und umsetzen. Es gibt den Mitarbeitern die Möglichkeit, zu erkennen, wo die Prozesse verfeinert werden müssen.
• Arbeitsteilung. Die Durchführung einer Datenschutz-Folgenabschätzung zum Nachweis der Einhaltung eines oder mehrerer Standards erfordert die Beteiligung mehrerer Datenschutz- und Sicherheitsexperten in einem Unternehmen, die gemeinsam zusammenarbeiten, damit die Last nicht auf einer Person oder einem Team liegt.
• Verfeinerung der Richtlinien zur Datenaufbewahrung. Anhand von Datenschutzfolgenabschätzungen können Unternehmen die Risiken erkennen, die mit der Sammlung zu vieler unnötiger Daten verbunden sind, einschließlich des Potenzials für Datenverluste und Datenschutzverletzungen. Die Bewertung kann dazu führen, dass die Richtlinien zur Datenaufbewahrung überarbeitet werden, um den Schwerpunkt auf die Datenminimierung zu legen, wodurch sichergestellt wird, dass nur notwendige neue Daten gesammelt und aufbewahrt werden.

Die Herausforderungen einer DSFA

Trotz der Vorteile, die die Durchführung einer DPIA mit sich bringt, gibt es auch Herausforderungen zu beachten. Dazu gehören die folgenden:

• Erforderlicher Arbeitsaufwand. Die Datenschutzverantwortlichen und andere Datenexperten müssen Zeit für die Durchführung einer vollständigen Datenschutzfolgenabschätzung einplanen. Die Dokumentation des gesamten Prozesses für den endgültigen DPIA-Bericht ist mühsam und erfordert die Mitwirkung der Datenschutz- und Sicherheitsteams.
• Festlegung des Umfangs. Unternehmen müssen sich Zeit nehmen, um sorgfältig zu bestimmen, welche Daten in eine Datenschutz-Folgenabschätzung einbezogen werden sollen.
• Neubewertungen erforderlich. Da sich Compliance-Standards und Geschäftsprozesse ändern können, muss eine Datenschutz-Folgenabschätzung regelmäßig neu bewertet und aktualisiert werden, um sicherzustellen, dass die Datenschutzmaßnahmen aktuell bleiben.