Was ist eine Datenschutzfolgenabschätzung und wozu braucht man sie?
Datenschutzpraxis
19. Mai 2020

Was ist eine Datenschutzfolgenabschätzung und wozu braucht man sie?

Rechtsanwältin K. Kirchert, LL.M. Profilbild
Rechtsanwältin K. Kirchert, LL.M.

Einige Datenverarbeitungen sind riskanter als andere, zum Beispiel wenn besonders sensible Daten verarbeitet werden oder ganz neue Technologien zum Einsatz kommen. In diesen Fällen schreibt die Datenschutzgrundverordnung (DSGVO) vor, dass die Verantwortlichen eine sogenannte Datenschutzfolgenabschätzung (DSFA) vornehmen müssen, bevor sie mit der eigentlichen Verarbeitung beginnen. Sollte sich bei der Durchführung der DSFA herausstellen, dass ein hohes Risiko für die Betroffenen besteht, müssen vor Beginn der Verarbeitung zusätzliche technische und organisatorische Maßnahmen getroffenen werden, um das ermittelte Risiko so weit wie möglich zu verringern.

Um herauszufinden, ob eine DSFA im konkreten Fall erforderlich ist, wird zuerst eine kurze Risikoanalyse durchgeführt, also eine Abschätzung des Risikos für die Betroffenen durch die geplante Verarbeitung. Bei dieser Analyse ist zum einen ist die die Schwere eines möglichen Schadens zu ermitteln und zum anderen die Wahrscheinlichkeit, dass der Schaden eintritt:

Die Schwere des Schadens richtet sich unter anderem nach der Art und der Menge der Daten. Die Spanne reicht dabei von einer leichten Beeinträchtigung bis hin zu schwerwiegenden Nachteilen für die betroffenen Personen.
Beispiel: Der Versand einer Bestellbestätigung eines Möbelhauses an den falschen Kunden wiegt weit weniger schwer als der Versand einer kompletten Patientenakte durch eine Zahnarztpraxis an einen anderen Patienten, da bei der vertauschten Bestellbestätigung die Konsequenzen weitaus geringer für die betroffene Person sind als beim Fehlversand zahlreicher medizinischer Daten.

Die Wahrscheinlichkeit des Schadenseintritts wird anhand der bereits vorhandenen technischen und organisatorischen Maßnahmen (TOMs) im Unternehmen bestimmt. Die Spanne reicht dabei von einem sehr unwahrscheinlichen Eintritt bis hin zu einem kaum vermeidbaren Schadenseintritt. Je besser die Daten geschützt sind, desto niedriger ist die Gefahr, dass sie abhandenkommen oder unberechtigt verarbeitet werden und dadurch ein Schaden für die betroffenen Personen entsteht.
Beispiel: Der Versand von Patientenakten durch eine Zahnarztpraxis erfolgt ausschließlich durch verschlüsselte E-Mails, die ein unberechtigter Empfänger nicht öffnen kann. In diesem Fall ist die Wahrscheinlichkeit eines Schadenseintritts sehr gering.

Die Aufsichtsbehörden haben als Hilfestellung eine Grafik veröffentlicht, in der man nach erfolgter Bestimmung der beiden Kriterien ablesen kann, wie hoch das Risiko für die Betroffenen ist. Ergibt sich danach ein hohes Risiko, ist eine DSFA auf jeden Fall durchzuführen. Bei einem mittleren Risiko ist eine DSFA nicht zwingend erforderlich, hier hängt es von den Umständen des Einzelfalls ab.

Quelle: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz), Kurzpapier der DSK Nr. 18

Quelle: Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz), Kurzpapier der DSK Nr. 18

In unserem Beispiel mit der Patientenakte aus der Zahnarztpraxis käme man zu dem Ergebnis, dass die Schwere des möglichen Schadens als „substanziell“ einzustufen ist, aber aufgrund der vorhandenen Schutzmaßnahmen die Eintrittswahrscheinlichkeit nur geringfügig ist. Nach der Grafik befinden wir uns damit gelben Bereich, es liegt also ein mittleres Risiko vor und eine DSFA wäre nicht durchzuführen.

Sowohl die Durchführung der Risikoanalyse als auch die DSFA selbst sind von den Verantwortlichen zu dokumentieren. Das gilt auch, wenn als Ergebnis der Analyse herauskommt, dass keine DSFA durchzuführen ist!

Die Aufsichtsbehörden haben außerdem eine Liste von Kriterien veröffentlicht, die bei der Entscheidung für oder gegen eine DSFA helfen sollen. Darunter finden sich Dinge wie z. B. systematische Überwachung, automatisierte Entscheidungsfindung, Verarbeitung besonders vertraulicher Daten oder Daten von Kindern, sehr große Menge an verarbeiteten Daten und Verarbeitung unter Einsatz neuer Technologien. Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, müssen die Verantwortlichen in der Regel eine DSFA durchführen. Eine separate Risikoanalyse ist dann nicht mehr erforderlich.

Kurz und knapp
  • icon=
    Einige Datenverarbeitungen sind riskanter als andere
  • icon=
    Wenn besonders sensible Daten verarbeitet werden oder ganz neue Technologien zum Einsatz kommen schreibt die DSGVO vor, dass eine Datenschutzfolgenabschätzung vorgenommen werden muss
  • icon=
    Die Aufsichtsbehörden haben außerdem eine Liste von Kriterien veröffentlicht, die bei der Entscheidung für oder gegen eine DSFA helfen sollen
Icon