5 Irrtümer bei der Datenschutz-Folgenabschätzung


Gerade die Datenschutz-Folgenabschätzung (DS-FA) ist für viele Verantwortliche noch ein Buch mit sieben Siegeln. Die vielen Dokumente dazu – in Gestalt von Whitepapers, Orientierungshilfen und Beispielen – wirken in ihrer Gesamtheit aber eher abschreckend als aufklärend. Daher wollen wir mit diesem Beitrag zumindest die 5 größten Irrtümer rund um die „DS-FA“ ausräumen. GIB MIR 5!

  1. Die “Muss-Liste” der Aufsichtsbehörde ist abschließend

Diese Muss-Liste bzw. „Blacklist“ ist nicht abschließend. Das bedeutet, dass der Verantwortliche bei Vorliegen der Voraussetzungen nach Art. 35 Abs. 1 DS-GVO auch dann eine DS-FA durchführen muss, wenn die in Raum stehende Verarbeitung nicht in der „Muss-Liste“ aufgeführt ist.

Die sogenannte Muss-Liste (abrufbar u.a. hier) zeigt zwar bis hin zu ganz konkreten Beispielen auf, wann eine DS-FA durchgeführt werden muss, erhebt aber keinen Anspruch auf Vollständigkeit. Wie auch im Abschlusstext der Muss-Liste erwähnt, orientiert sich die Liste an den neun maßgeblichen Kriterien der ehemaligen Artikel-29-Gruppe (jetzt Europäischer Datenschutzausschuss). Sofern mindestens zwei der Kriterien zusammentreffen, kann in der Regel von einem hohen Risiko ausgegangen werden, sodass eine DS-FA durchzuführen ist. Es ist aber nicht ausgeschlossen, dass bereits die Erfüllung von einem Kriterium zu einem voraussichtlich hohen Risiko – und somit zur Durchführung einer DS-FA führt. Im Übrigen enthält auch Art. 35 Abs. 3 a) – c) DS-GVO allgemeine Kriterien, die in diesem Zusammenhang ebenfalls zu berücksichtigen sind.

  1. Die DS-FA ist eine rein technische Risikoabschätzung

Die DS-FA kann grundsätzlich in zwei Teile untergliedert werden: dem rechtlichen und dem technischen Prüfungsteil.

Leider finden sich viele Datenschutz-Folgenabschätzungen im Internet, die nur die technische Risikoabschätzung im Fokus haben. Es mangelt diesen Beispielen konkret an dem rechtlichen Prüfungsteil, obwohl dieser essentiell ist. Nur bei Vorliegen einer einschlägigen Rechtsgrundlage für die Datenverarbeitung kann die technische Risikoanalyse überhaupt durchgeführt werden. Ohne eine einschlägige Rechtsgrundlage dürfen nämlich keine Daten verarbeitet werden (sog. „Verbot mit Erlaubnisvorbehalt“). Auf die Datensicherheit des Verarbeitungsprozesses kommt es in diesem Fall dann nicht mehr an.

  1. Der Datenschutzbeauftragte muss die DS-FA durchführen

Laut Art. 35 Abs. 1 DS-GVO „[…] führt der Verantwortliche vorab […]“ eine DS-FA durch. Zu dieser DS-FA kann der Datenschutzbeauftragte gemäß Art. 39 Abs. 1 c) DS-GVO auf Anfrage beratend und überwachend tätig werden.

Grundsätzlich ist also der Verantwortliche für die Durchführung der DS-FA verantwortlich. Dem Datenschutzbeauftragten können aber weitere Aufgaben übertragen werden. Hierzu zählt u.a. auch die Koordination bzw. die finale Durchführung der DS-FA. Dem Datenschutzbeauftragten müssen hierfür dann aber die benötigten (zeitlichen) Ressourcen zur Verfügung gestellt werden.

  1. Die DS-FA ist eine einmalige Sache

Auch wenn die DS-FA durchgeführt und das Risiko in diesem Zusammenhang durch geeignete Maßnahmen angemessen reduziert wurde, ist die DS-FA anschließende in den „Datenschutzkreislauf“ des Unternehmens einzupflegen.

Das Ergebnis einer DS-FA kann sich nämlich ändern, da die Rahmenbedingungen einer konkreten Datenverarbeitung sich im Laufe der Zeit umwandeln können. Dies gilt insbesondere für die technisch-organisatorischen Maßnahmen. Das Ergebnis einer DS-FA ist demnach regelmäßig zu kontrollieren. Die vorgenommenen Schutzmaßnahmen sind auf dem neuesten Stand zu halten und bei Bedarf zu aktualisieren.

  1. Der Auftragsverarbeiter muss für den Verantwortlichen die DS-FA durchführen, wenn er den Dienst bereitstellt, der das hohe Risiko begründet

Der Provider des risikobehafteten Dienstes muss auch dann nicht für den Verantwortlichen die DS-FA durchführen, wenn er gleichzeitig als sog. Auftragsverarbeiter agiert. Nur der Verantwortliche ist zur Durchführung der DS-FA verpflichtet (vgl. Art. 35 Abs. 1 DS-GVO)

Auftragsverarbeiter und Verantwortlicher sind bei der DS-FA jedoch zur Zusammenarbeit verpflichtet. Laut Art. 28 Abs. 3 f) DS-GVO unterstützt der Auftragsverarbeiter „unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten“.

16.07.2020

zurück zu den News