Datenschutz-Folgenabschätzung

Webinar „Datenschutz-Folgenabschätzung (DSFA)“

Am 28.05.2020 hat das monatliche Webinar für Datenschutz-Coaching-Mitglieder mit dem Thema „Datenschutz-Folgenabschätzung (DSFA)“ stattgefunden. Wir haben uns damit beschäftigt, wann eine DSFA erstellt werden muss, wann eine DSFA erstellten werden sollte und vor allem wie eine DSFA erstellt werden sollte – mit einem Fokus auf die Risikoanalyse und -bewertung.

Die Aufzeichnung sowie die weiteren Unterlagen finden sich hier:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinar: Praktische Durchführung einer Datenschutz-Folgenabschätzung (DSFA)

Am 14.03.2019 fand ein Webinar zum Thema Datenschutz-Folgenabschätzung (DSFA) statt. In dem Webinar habe ich unter anderem das Privacy Impact Assessment Tool („PIA-Tool“) der französischen Aufsichtsbehörde CNIL vorgestellt, mit dem in Unternehmen oder öffentlichen Stellen in recht einfacher Weise DSFAs durchgeführt werden können.

Wann sich der Einsatz dieses PIA-Tools empfiehlt und wann ich einen anderen (noch einfacheren) Ansatz in 6 Schritten empfehle, können Datenschutz-Coaching-Mitglieder der Aufzeichnung des Webinars (67 Minuten) entnehmen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Ist eine Datenschutz-Folgenabschätzung bei einem „Headhunter“ erforderlich?

Ein Datenschutz-Coaching-Mitglied hat folgende Frage gestellt:

Ein Headhunter hat eine Datenbank mit ca. 10.000 Bewerbungen. Das Vermitteln von Bewerbern ist natürlich sein Hauptgeschäft.
Ist das umfangreiche Datenverarbeitung, so dass er eine DSFA machen muss und demnach auch einen DSB braucht?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen resultieren kann.

In Art. 35 Abs. 3 DSGVO sind dann ferner noch Fälle genannt, in denen insbesondere eine DSFA durchzuführen ist. Und zwar in diesen Fällen:

  1. Bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen oder
  2. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder Daten über Straftaten gemäß Art. 10 DSGVO oder
  3. bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Letzteres (Ziff. 3) fällt im Falle des Headhunters schon einmal weg.

Ich kann generell empfehlen, bei einer Entscheidung über die Frage, ob eine DSFA durchzuführen ist, einen Blick in die sog. „DSFA Liste Deutschland – Nicht-öffentlicher Bereich“ der Datenschutzkonferenz (DSK) zu werfen. Das Dokument findet sich hier (PDF).

Wenn eine Verarbeitung bzgl. der Durchführung einer DSFA beurteilt werden soll und sich diese in der o.g. „Positivliste“ der DSK (wir Anwälte nennen sie eher „Blacklist“) findet, dann führt kein Weg an der Durchführung einer DSFA vorbei. Sie ist dann schlichtweg zu machen.

Wenn eine Verarbeitung sich jedoch nicht in der Liste wiederfindet, dann heißt dies nicht automatisch im Umkehrschluss, dass eine DSFA entbehrlich wäre. Genau hier müssen wir uns dann wieder die o.g. Ziff. 1-3 ansehen – hier nur die Ziff. 1-2.

Und da tritt dann auch schon das erste Sorgenfältchen in der Beantwortung der Frage zum Headhunter auf. Denn auch wenn weder Ziff. 1 noch Ziff. 2 klar bejaht werden können, können sie in gleicher Weise auch nicht klar verneint werden.

Schauen wir uns z.B. einmal die Ziff. 2 mit ihren besonderen Kategorien von personenbezogenen Daten an. Hier kann eine DSFA erforderlich werden, weil eine Verarbeitung von besonders schutzbedürftigen Daten leicht ein Risiko für den Betroffenen darstellen kann. Insbesondere dann, wenn die Daten unbefugt in dritte Hände gelangen.

Ein Headhunter hat regelmäßig wohl Daten, die sich z.B. aus einem Lebenslauf und der beruflichen Qualifizierung ergeben. Viele dieser Daten können auch besondere Kategorien personenbezogener Daten darstellen. Wenn jetzt 10.000 oder mehr Personen betroffen sind, wird man schon begründen können, dass hier eine „umfangreiche“ Verarbeitung von besonderen Kategorien personenbezogener Daten vorliegt. Und dann wäre eine DSFA erforderlich.

Und auch bei Ziff. 1 ist die Situation beim Headhunter nicht klar zu verneinen. Art. 35 Abs. 3 Nr. 1 DSGVO ist allerdings sprachlich sehr unbestimmt und schwer auszulegen. Liegt im Falle eines Headhunters eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vor? Und das auf Basis einer automatisierten Verarbeitung?

Die Frage ist nicht eindeutig zu beantworten. Ein guter Headhunter wird allerdings aus den Daten, die ihm zu einer Kandidatin oder einem Kandidaten vorliegen, eine bestmögliche Auswahl und ein „Matching“ mit den Anforderungskriterien des künftigen potentiellen Arbeitgebers treffen wollen. Und das wird sehr häufig auch durch Anwendung von Filterkriterien oder Abfragen durchgeführt werden.

Auch hier spricht also einiges (aber auch nicht alles) für die Durchführung einer DSFA.

Meine Empfehlung wäre hier aber, dass in den Fällen in denen wie hier kumulativ sogar in zwei Fallvarianten des Art. 35 Abs. 3 DSGVO eine DSFA im Raum steht, auch tatsächlich eine DSFA durchgeführt wird.

Konsequenz hieraus ist dann allerdings, dass nach § 38 Abs. 1 Satz 2 BDSG auch ein Datenschutzbeauftragter vom Headhunter zu benennen wäre.

Webinaraufzeichnung: Datenschutz-Folgenabschätzung nach der GM-Methode

Es gibt eine Reihe von Ansätzen dafür, wie eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden kann. Die sind auch alle gut und hilfreich. Am Ende muss aber jeder, der eine DSFA schreiben oder so ein Projekt zu leiten hat, seinen eigenen Weg finden müssen, um hier die Einhaltung der gesetzlichen Anforderungen mit dem entstehenden Aufwand in Einklang zu bringen.

Da eine DSFA nur bei Verarbeitungen mit einem voraussichtlich hohen Risiko für die Betroffenen durchgeführt werden muss, wird dies in der Regel Verfahren oder Prozesse im Unternehmen betreffen, die nicht unbedingt trivial oder schnell zu beschreiben sind. Einigkeit dürfte daher darüber bestehen, dass eine DSFA auf einer Seite, also sozusagen als „One-Pager“ selten möglich sein wird.

Aber es müssen vielleicht auch nicht über 50 Seiten einer Bewertung nach dem sog. Standard-Datenschutzmodell (SDM) sein.

Es gibt ein paar hilfreiche Dokumente, die bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) sehr hilfreich sein können:

Ich sitze nun aktuell an einigen DSFA. Und es zeigt sich folgendes:

  1. Es gibt keinen „One-Size-fits-all“- Ansatz. Mal passt z.B. das SDM, mal nicht. Warum nicht? Weil das SDM manchmal zu Aufwänden einer DSFA führen würde, die nicht im Verhältnis zum Risiko stehen. Das wird der eine oder andere anders sehen. Ist aber nun einmal meine Erfahrung.
  2. Eine DSFA ist nicht einfach. Die Ersteller brauchen nicht nur Erfahrung im Datenschutzrecht und Kenntnisse im technischen Bereich. Interdisziplinäre Teams, die es gewohnt sind, gemeinsam miteinander zu arbeiten, sind ein Schlüssel zu einer effektiven Erstellung von DSFA.
  3. Die Durchführung der DSFA ist eine rechtliche Anforderung. Leider wird bei der DSFA von manchen Personen Technik und Recht falsch bewertet. So höre ich von Technikern, dass bestimmte Maßnahmen nicht dem Risiko entsprechend seien. Auf die Frage „warum“ kommt ggf. die Antwort: „Weil das so ist.“
    Wenn es aber genau in der Frage schon z.B. eine eindeutige Stellungnahme des BGH oder eine ständige Rechtsprechung gibt, dann kann ich nicht zu dem Ergebnis kommen, dass hier ein hohes Risiko vorliegt. Eine juristisch als zulässig geklärte Datenverarbeitung kann im Ergebnis nicht dazu führen, dass in der DSFA ein voraussichtlich hohes Risiko verbleibt. Genau zu diesen Konsequenzen kann es aber bei strikter Anwendung des SDM kommen.
  4. Solange das SDM nicht eng an die Datenschutz-Grundverordnung (DSGVO) angepasst ist (das ist derzeit – Stand: 16.03.2018 – nicht der Fall), kann es als Standard für eine DSFA zu zu engen Ergebnissen führen. Das sollte den Erstellern von DSFA bei der Wahl der Methode bewusst sein.

Ich halte das SDM für ein geeignetes „Modell“, um Datenverarbeitungsvorgänge zu prüfen. Die Anwendung des SDM ist aber juristisch nicht erforderlich und auch nicht zwingend. Dieser Eindruck wird z.T. erweckt. Juristisch zwingend ist allein die Einhaltung der Vorgaben des Art. 35 DSGVO. Nicht mehr und nicht weniger. Von der Anwendung des SDM oder eines sonstigen Standards steht da nichts. Und entgegen der Auffassung, die zuweilen geäußert wird, lässt sich das SDM auch nicht direkt aus der DSGVO ableiten. Sowohl die Grundrechte-Charta der EU als auch die Grundsätze der Datenverarbeitung in Art. 5 DSGVO sind im Hinblick auf Wertung und Gewichtung der Schutzziele nicht deckungsgleich mit den Schutzzielen und vor allem deren Gewichtung im SDM.

Was denn nun die Anforderungen aus Art. 35 DSGVO sind und welche Konsequenzen für die Umsetzung einer DSFA daher nach „gesundem Menschenverstand“ sich daraus meiner bescheidenen Meinung nach ergeben, können Datenschutz-Coaching-Mitglieder dem nachfolgenden Video (1:49h) entnehmen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

VLOG #1: Flensburg, Datenschutz-Folgenabschätzung & Fragenkatalog DSGVO

Jetzt dreht der Hansen-Oest total durch. Ein VLOG? Wirklich? Naja…da müsst ihr jetzt durch. Es wird jetzt aber auch nicht so sein, dass ich euch nun täglich zeige, was ich zum Frühstück gegessen habe. Aber in der ersten Folge musste genau das so sein. Es ist ja auch kein YouTube-VLOG, der jetzt wirklich regelmäßig wäre. Aber ich habe etwas bemerkt:

Ich bleibe bei YouTube immer an diesen VLOG-artigen Videos hängen. Paradebeispiel dafür: Ich verfolge schon seit einigen Jahren, was Marie Forleo so auf die Beine stellt. Unglaublich. Dieses Jahr ist sie dazu übergegangen, auch neben diesen durchproduzierten Videos eine „unplugged“-Serie zu machen. Und: Die ist großartig. Findet ihr übrigens hier, hat aber nichts mit Datenschutz zu tun.

Ich erkläre euch weiter unten noch die Motivation für dieses Video. Vielleicht interessiert das den einen oder anderen. Oder erklärt zumindest für diejenigen, die mit dem Video nichts anfangen können, was dahinter steckt.

Neben Flensburg und einem kleinen Einblick in meine Arbeit, geht es in diesem ersten „VLOG #1“-Video um auch zwei datenschutzrechtliche Tipps, die gestern auf meinem Rechner gelandet sind. Es sind zwei Dokumente, die ihr euch unbedingt ansehen solltet, wenn ihr euch mit der DSGVO beschäftigt:

1. ULD und LfDI MV veröffentlichen Beispieldokument zur Datenschutz-Folgenabschätzung

Mitarbeiter des ULD und der Aufsichtsbehörde in Mecklenburg Vorpommern haben ein sehr, sehr gutes Dokument zur Datenschutz-Folgenabschätzung (DSFA) veröffentlicht. Und es ist wirklich großartig, denn es ist eine Beispiel-DSFA. Sicherlich eine Menge Arbeit. Und wirklich sehr hilfreich, dass dies veröffentlicht wird. Die Herausgeber schreiben dazu hier Folgendes:

Im Rahmen eines Planspiels haben das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern für einen hypothetischen Beispielsfall eine Datenschutz-Folgenabschätzung durchgeführt. Die Autoren haben sich dabei an einem DSFA-Framework orientiert, das dem  „Whitepaper Datenschutz-Folgenabschätzung“ und einem Aufsatz von Bieker et al. entnommen wurde. Für die Risikoabschätzung und die Bestimmung der Maßnahmen wurde das Standard-Datenschutzmodell verwendet.

Das Dokument könnt ihr herunterladen:

Viel Spaß bei der Lektüre!

2. LfDI Niedersachsen veröffentlicht Fragenkatalog zur DSGVO

Nach dem das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) schon einen Beispiel-Fragenkatalog zur DSGVO veröffentlicht hatte, zieht jetzt die niedersächsische Aufsichtsbehörde nach. Da ich einige Mandanten in Niedersachsen habe, hat mich das natürlich auch besonders interessiert.

Den Fragebogen könnt ihr hier herunterladen:

Etwas mehr Infos dazu im Video…

Und jetzt zum Video

Ich bin mal gespannt, wie ihr das findet. Es ist wirklich mit heißer Nadel gestrickt und dreckig. Und genau das ist, was es sein soll: Dreckig produziert.

Für mich ist das Gelegenheit, auf die Schnelle etwas mehr von dem preiszugeben, was ich so tue. Und wie ich es tue. Mandanten werdet ihr in den Videos aber grundsätzlich nicht sehen. Es sei denn, die wollen unbedingt. Soll es ja auch geben…

Hier nun das Video:

Und etwas mehr zum Hintergrund:

Ist sicher nichts Besonderes, dass ich mich schon einige Jahre damit beschäftige, wie ich über das Web ein mehr oder weniger virtuelles Anwaltsbusiness ausbauen kann. Vor einigen Jahren war mein Motto, dass ich irgendwann so weit sein möchte, dass ich in Unterhose arbeiten kann. Kein Scherz. Nicht, dass ich jetzt wirklich Wert darauf legen würde, in Unterhosen zu arbeiten.

Aber der Gedanke!

Der Gedanke, dass es Mandanten egal ist, wie ich herumlaufe, wo ich gerade bin und ob ich die Haare schon gestylt habe oder nicht. Den fand ich charmant. Und meine Frau musste dann schon einmal lachen, wenn ich bei einem Webmeeting oben rum recht vernünftig aussah, unten rum aber nur Schlabber-Jogginghose zu sehen war. Sieht ja bei einem „virtuellen“ Business keiner. Heute kann ich ganz gut in Unterhose arbeiten. Ziehe es aber vor, darüber dann doch noch eine lange Hose zu tragen. Ihr versteht das schon, gell?

Ich will jetzt gar nicht lange um den heißen Brei herum reden: Ich probiere hier mal eine neues Format aus. Was soll das Ganze? Ihr kennt das vielleicht auch. Ihr landet irgendwie bei YouTube und dann wird da noch ein anderes Video vorgeschlagen. Und dann seht ihr vielleicht kein reines, durchgestyltes Sachvideo, sondern etwas eher „persönliches“. Und an sowas bleibe ich hängen. Und zack…sind 10 Minuten rum. Aber die waren irgendwie angenehm.

Dabei bin ich doch eigentlich kein Klatschblatt-Leser. Außer im Urlaub vielleicht mal, wenn ich im Flugzeug sitze und es ausnahmsweise mal solche Zeitschriften gibt. Dann greife ich zu: Fit for Fun, GALA und wie sie alle heißen. Es ist wohl die ganz normale Neugierde. Und so ähnlich funktionieren dann auch diese Videos. Im „VLOG“-Format. Ist sicher nicht jedermanns Sache. Aber ich probiere das mal. Im Rahmen der Zeit, die ich so nebenbei habe.

Ist natürlich auch für einige von euch vielleicht skurril, wenn ein „Datenschutzrechtler“ hier etwas mehr von seinem Leben preisgibt. Aber genau darum geht es ja bei der deutschen Auslegung von Datenschutz im Sinne der Rechtsprechung des BVerfG: Recht auf informationelle Selbstbestimmung. Und so entscheide ich hier eben selbst, was ich von mir preisgeben möchte. Und das Video oben ist eines der Ergebnisse.