Mehr als zwei Jahre ist es nun schon her, seitdem die Datenschutz-Grundverordnung (DSGVO) in den Mitgliedstaaten Europas abschließend umgesetzt sein musste – so zumindest in der Theorie. Die Praxis sieht sowohl im Rückblick als auch heute anders aus: Diskutierten im Sommer 2018 die am Datenschutz Beteiligten jedoch zumeist noch sehr grundlegende Themen – bspw. die Notwendigkeit zur Bestellung eines externen Datenschutzbeauftragten, die Verwendungsmöglichkeiten von Adresslisten zur Versendung von Newslettern oder die datenschutzkonforme Gestaltung von Datenschutzerklärungen auf den Webseiten – stehen heute oftmals ganz andere Fragen im Vordergrund. So ist die datenschutzkonforme Regelung des Homeoffice bzw. eines Telearbeitsplatzes, die Sensibilisierung der Beschäftigten zum Datenschutz oder der notwendige Auditplan zur internen bzw. externen Prüfung zunehmend in den Fokus des Datenschutzinteresses gerückt.
Die damit einhergehenden Umsetzungsprobleme sind es, die langsam, aber mit zunehmender Sicherheit, die mit dem Datenschutz befassten Personen bewegen. In der Praxis zeigt sich infolgedessen immer deutlicher, dass altbekannte Vorgehensweisen nicht gleichermaßen zum Ziel führen und daher die datenschutzrechtlichen Vorgaben hinterfragt bzw. zumindest mit Leben gefüllt werden müssen. Die bis dato wegen ihrer „Neuartigkeit“ noch eher „stiefmütterlich“ behandelten Pflichten aus der Datenschutz-Grundverordnung erhalten dadurch die ihnen gebührende Aufmerksamkeit. Aber was sind das nun für entscheidende Fragen, die den Datenschutz heute, zwei Jahre nach Umsetzungsfrist, bewegen? Da bietet die besinnliche Vorweihnachtszeit genau den richtigen Rahmen, sich mit einer Pflicht auseinanderzusetzen, die bisher im Konflikt mit der täglichen Arbeitsbelastung eher ein Randdasein fristet. Nutzen wir die langsam eintretende Ruhe der Vorweihnachtszeit doch einmal dazu, uns näher mit der Datenschutz-Folgenabschätzung (DSFA) auseinanderzusetzen. Vielleicht lässt sich feststellen, dass bei ausreichend abstrakter Betrachtung selbst eine Risikoanalyse ihren Schrecken verliert.
Pflicht zur Datenschutz-Folgenabschätzung
Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung ergibt sich zunächst aus Art. 35 DSGVO. Zu Beginn wurde die Datenschutz-Folgenabschätzung oftmals lediglich als eine Weiterentwicklung der Vorabkontrolle wahrgenommen, die als fester Bestandteil des alten Bundesdatenschutzgesetzes, zumindest den Datenschutzbeauftragt*innen schon bekannt, war. Bei näherer Betrachtung stellte sich jedoch schnell heraus, dass es sich um eine sehr viel komplexere Verpflichtung handelt, die überdies – aufgrund des Art. 5 Abs. 2 DSGVO – mit umfangreichen Dokumentationspflichten einher geht. Die gute Nachricht ist hingegen, die notwendige Vorgehensweise bei einer Datenschutz-Folgenabschätzung lassen sich hervorragend in einzelne Phasen und/oder Prüfungsschritte unterteilen. Es macht daher Sinn, die sich aus Art. 35 DSGVO ergebende Pflicht zur Datenschutz-Folgenabschätzung einmal näher zu betrachten.
Wird die Datenschutz-Folgenabschätzung als eine Art Zyklus verstanden, lässt sich deren Ablauf in wenige wesentliche Phasen untergliedern.[1] Während es in einer Initialisierungsphase noch um das Feststellen der Notwendigkeit einer Datenschutz-Folgenabschätzung geht, ist der Sinn der Vorbereitungsphase bereits die Zusammenstellung des DSFA-Teams und das Sammeln der wesentlichen Unterlagen. Die eigentliche Datenschutz-Folgenabschätzung findet hingegen erst in der sogenannten Durchführungsphase statt, welche im Anschluss eine Umsetzungsphase durchlaufen muss. In einer letzten Phase wird sodann die Nachhaltigkeit der Datenschutz-Folgenabschätzung, also ggf. deren regelmäßigen Wiedervorlage bzw. Überprüfung, sichergestellt.[2] Zur Vereinfachung des Ablaufes lassen sich außerdem mehrere Schritte identifizieren, die immer notwendig sind, um eine datenschutzkonforme Datenschutz-Folgenabschätzung zu gewährleisten. Diese Prüfungsschritte sollen im Folgenden in aller Kürze dargestellt werden. Dabei steht über allen vorgenommenen Schritten die Rechenschaftspflicht (vgl. Art. 5 Abs. 2 DSGVO), weshalb die jeweiligen Verantwortlichen gut beraten sind, bereits zu Beginn der Vorphase ihr Vorgehen detailliert zu dokumentieren.
Prüfungsschritte
1. Schritt
Am Anfang einer Datenschutz-Folgenabschätzung steht die Feststellung ihrer Notwendigkeit. Diese Prüfung erfolgt im Rahmen einer sogenannten Schwellenwertanalyse. Im Rahmen dessen hat der bzw. die Verantwortliche zu prüfen, ob die geplante Verarbeitung nach Art, Umfang, Umstände oder Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet.[3] Dabei ist zu prüfen, inwieweit die Verarbeitung unter die in Art. 35 Abs. 3 DSGVO genannten Fällen, den in der behördlichen „Muss-Liste“ beschriebenen Verarbeitungsvorgängen oder unter die in der Leitlinie der Artikel-29-Gruppe beschriebenen Kriterien einer notwendigen Datenschutz-Folgenabschätzung fällt.[4]
2. Schritt
Ist das Ergebnis dieser Schwellenwertanalyse die Notwendigkeit einer Datenschutz-Folgenabschätzung, muss sich eine Gruppe finden, welche die weiteren Schritte umsetzt und dokumentiert. Diese sollte als festes (Grund-)Team gestaltet sein und die wichtigsten Schlüsselfiguren im Rahmen des geplanten und einer Datenschutz-Folgenabschätzung zu unterziehenden Datenverarbeitungsvorgangs erfassen. Bei der Team-Zusammensetzung ist außerdem zu bedenken, dass die Pflicht zur Datenschutz-Folgenabschätzung sich an Verantwortliche richtet. Das Team sollte folglich auf jeden Fall Entscheidungsträger bzw. von diesen entsprechend autorisierte Personen umfassen. Wegen der ohnehin erforderlichen Hinzuziehung des Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO), macht dessen Aufnahme in das Team ebenfalls Sinn.[5] Allerdings lediglich in beratender Funktion, so dass die operative Leitung der Datenschutz-Folgenabschätzung durch eine andere Person wahrgenommen werden sollte.
3. Schritt
Wurde die Erforderlichkeit einer Datenschutz-Folgenabschätzung festgestellt und ein entsprechendes Team zusammengestellt, geht es an deren Umsetzung. Hierzu ist es notwendig, die systematische Beschreibung der Verarbeitung und ihrer Zwecke zum Gegenstand der Datenschutz-Folgenabschätzung zu machen. Hierbei kann zunächst die Sammlung aller einschlägigen Materialien oder Unterlagen, Verträge und bereits vorhandener Beschreibungen von Verarbeitungsvorgängen hilfreich sein. Notwendig ist es, dass im Ergebnis eine Beschreibung der technischen und organisatorischen Umsetzung (d. h. der verarbeiteten Daten, verwendeten Systeme, Prozessschritte, Speicher- und Löschfristen, alle Empfänger und sonstige an der Verarbeitung beteiligten Organisationen und Personen) sowie eine zumindest kurze Beschreibung dessen, welche Ziele und Interessen mit der Verarbeitung im Ergebnis eigentlich verfolgt werden, möglich ist.
4. Schritt
Im nächsten Schritt fordert Art. 35 Abs. 7 lit. b DSGVO eine Bewertung der Notwendigkeit und Verhältnismäßigkeit dieser beschriebenen Verarbeitung. Obwohl es in der Literatur durchaus noch unterschiedliche Ansichten zur Reichweite dieser Bewertung gibt, besteht doch generell Einigkeit zur Erforderlichkeit einer derartigen Kurzbewertung. Wurde demnach die geplante Verarbeitung ausführlich beschrieben, sollte sich entweder eine plausible Darlegung der Verhältnismäßigkeit des geplanten Verarbeitungsverfahrens und/oder die Beschreibung der bereits feststehenden und von vorneherein notwendigen Anpassungen finden.
Erst danach geht es an die eigentliche Risikoanalyse. Im Rahmen dessen wird eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (vgl. Art. 35 Abs. 7 lit. c DSGVO) vorgenommen, wobei alle in der EU-Grundrechte Charta und der Europäischen Menschenrechtskonvention verbürgten Grundrechte und Grundfreiheiten zu berücksichtigen sind.[6] Bei sehr komplexen Verarbeitungsprozessen hat sich zur Identifizierung und Dokumentation möglicher Risiken ein partizipatives und dialogorientiertes Vorgehen bewährt, um von einer Mehrzahl an Blickwinkeln zu profitieren. Zur Umsetzung bietet sich schon hier die Einbindung verschiedener Betroffenenvertreter (vgl. auch Art. 5 Abs. 9 DSGVO), bspw. im Rahmen eines gemeinsamen Workshops an, um die möglichen Risiken für verschiedene Personengruppen und die ggf. zu erwartenden Schadensszenarien zu sammeln und bspw. in einer entsprechenden Tabelle zu dokumentieren.
5. Schritt
Im Anschluss erfolgt eine Prüfung, inwieweit durch die beschriebenen Szenarien die Gewährleistung der Schutzziele: Datensparsamkeit, Vertraulichkeit, Integrität, Verfügbarkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit (vgl. auch Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO) sowie ggf. weitere Anforderungen der Grundverordnung (Betroffenenrechte, etc.) einem Risiko ausgesetzt ist.[7] Wichtig ist in diesem Zusammenhang eine dokumentierte und nachvollziehbare Beurteilung der Schwere eines möglichen Schadens sowie deren Eintrittswahrscheinlichkeit. Hilfreich ist es dabei, sich zur Visualisierung beider Aspekte eine einfache Skala vorzustellen, bei der angelehnt an die DSK-Matrix bspw. für die Schwere des Schadens sowie für die Eintrittswahrscheinlichkeit jeweils die Kategorien geringfügig, überschaubar, substantiell, groß verwendet werden.[8] Dieser durchgeführten Analyse müssen sodann entsprechende Abhilfemaßnahmen zugeordnet werden, durch die eine Einhaltung der nach der DSGVO notwendigen Grundsätze bzw. der vorhandenen Schutzziele gewährleistet wird (vgl. Art. 35 Abs. 7 lit. d DSGVO). [9]
6.Schritt
Art. 35 Abs. 11 DSGVO verlangt nach Abschluss des Prüfzyklus zuletzt noch eine Fortschreibung der Datenschutz-Folgenabschätzung. Hintergrund ist, dass die Datenschutz-Folgenabschätzung nicht als einmalige Aktion verstanden werden darf, sondern kontinuierlich einem Prüfungsprozess unterliegt, weshalb es sinnvoll sein kann, sich für die Sicherstellung des wiederkehrenden Prüfungsansatzes eines entsprechenden Datenschutz-Management-Systems zu bedienen.
Fazit
Wird die Datenschutz-Folgenabschätzung demnach auf die absolut wesentlichen Grundbestandteile reduziert, zeigt sich eine durchaus zu lösende Aufgabe. Wenn auch nicht darüber hinweggetäuscht werden kann, dass die eigentliche Umsetzung zeitaufwändig ist, muss doch jeder Schritt nachvollziehbar dokumentiert werden. In Zeiten zunehmender Digitalisierung und des Internet of Things (IoT) bietet eine ordentlich durchgeführte Datenschutz-Folgenabschätzung jedoch die Möglichkeit Datenschutzrisiken bereits im Entwicklungsprozess strukturiert zu identifizieren, zu bewerten sowie zu adressieren und damit u.a. auch Ansätze des Datenschutz by Design und by Default (Art. 25 DSGVO) zu stärken.[10] Generell kann damit vielleicht eine verantwortliche Entwicklung der Technik stärker gesteuert werden.
Ein für die besinnliche Vorweihnachtszeit vielleicht erstrebenswertes Ziel und durchaus guter Vorsatz für das nächste Jahr.
In diesem Sinne wünschen wir viel Erfolg bei der Datenschutz-Folgenabschätzung!
[1] Vgl. Übersicht bei Martin/Friedewald/Schiering/Mester/Hallinan/Jensen, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, Ein Handbuch für die Praxis, Stuttgart 2020, S. 5.
[2] Im Einzelnen dazu bei Martin/Friedewald/Schiering/Mester/Hallinan/Jensen, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, Ein Handbuch für die Praxis, Stuttgart 2020.
[3] ICO, Privacy Impact Assessment Handbook Version 2.0, 2007; ICO, Conducting privacy impact assessments: Code of Practice, 2014.
[4] Art. 29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte, WP 243 rev.01, 5.4.2017; zur Schwellwert-Analyse allgemein siehe Martin/Mester/Schiering/Friedewald/Hallinan, DuD 2020, S. 149 (152); Friedewald u. a., DuD 2019, S. 473 ff.
[5] Martin/Schiering/Friedewald, DuD 2020, S. 154 (156).
[6] Martin/Schiering/Friedewald, DuD 2020, S. 155 (158).
[7] Datenschutzkonferenz, Standard-Datenschutzmodell, S. 25-29.
[8] DSK, Kurzpapier 18, 2017.
[9] Auch häufig Gewährleistungsziele genannt, siehe das Standard-Datenschutzmodells, Datenschutzkonferenz, Das Standard-Datenschutzmodell: Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele Version 2.0a, 7.11.2018.
[10] Zu den positiven Effekten vgl. bspw. Grafenstein, DuD 2020, S. 172.