Datenschutz-Folgenabschätzung

Am 14.03.2019 fand ein Webinar zum Thema Datenschutz-Folgenabschätzung (DSFA) statt. In dem Webinar habe ich unter anderem das Privacy Impact Assessment Tool („PIA-Tool“) der französischen Aufsichtsbehörde CNIL vorgestellt, mit dem in Unternehmen oder öffentlichen Stellen in recht einfacher Weise DSFAs durchgeführt werden können.

Wann sich der Einsatz dieses PIA-Tools empfiehlt und wann ich einen anderen (noch einfacheren) Ansatz in 6 Schritten empfehle, können Datenschutz-Coaching-Mitglieder der Aufzeichnung des Webinars (67 Minuten) entnehmen:

Es gibt eine Reihe von Ansätzen dafür, wie eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden kann. Die sind auch alle gut und hilfreich. Am Ende muss aber jeder, der eine DSFA schreiben oder so ein Projekt zu leiten hat, seinen eigenen Weg finden müssen, um hier die Einhaltung der gesetzlichen Anforderungen mit dem entstehenden Aufwand in Einklang zu bringen.

Da eine DSFA nur bei Verarbeitungen mit einem voraussichtlich hohen Risiko für die Betroffenen durchgeführt werden muss, wird dies in der Regel Verfahren oder Prozesse im Unternehmen betreffen, die nicht unbedingt trivial oder schnell zu beschreiben sind. Einigkeit dürfte daher darüber bestehen, dass eine DSFA auf einer Seite, also sozusagen als „One-Pager“ selten möglich sein wird.

Aber es müssen vielleicht auch nicht über 50 Seiten einer Bewertung nach dem sog. Standard-Datenschutzmodell (SDM) sein.

Es gibt ein paar hilfreiche Dokumente, die bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) sehr hilfreich sein können:

• Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt, White Paper "DATENSCHUTZ-FOLGENABSCHÄTZUNG" – Ein Werkzeug für einen besseren Datenschutz (3. Auflage) (PDF)
• ULD/LfDI M-V, Planspiel Datenschutz-Folgenabschätzung für ein „Pay as you Drive“-Verfahren auf Basis des SDM (PDF)
• RA Sebastian Schulz, Datenschutz-Folgenabschätzung (nur für Abonnenten der Privacy Made In Germany (PinG) – Word-Dokument unter https://www.pingdigital.de/arbeitshilfen.html
• ISO 29134 – Guidelines for Privacy Impact Assessment
• Art. 29 Gruppe, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ – WP 248 rev 01 (PDF)
• Privacy Officers, Durchführung einer DSFA am Beispiel Videoüberwachung (PDF)

Ich sitze nun aktuell an einigen DSFA. Und es zeigt sich folgendes:

1. Es gibt keinen „One-Size-fits-all“- Ansatz. Mal passt z.B. das SDM, mal nicht. Warum nicht? Weil das SDM manchmal zu Aufwänden einer DSFA führen würde, die nicht im Verhältnis zum Risiko stehen. Das wird der eine oder andere anders sehen. Ist aber nun einmal meine Erfahrung.
2. Eine DSFA ist nicht einfach. Die Ersteller brauchen nicht nur Erfahrung im Datenschutzrecht und Kenntnisse im technischen Bereich. Interdisziplinäre Teams, die es gewohnt sind, gemeinsam miteinander zu arbeiten, sind ein Schlüssel zu einer effektiven Erstellung von DSFA.
3. Die Durchführung der DSFA ist eine rechtliche Anforderung. Leider wird bei der DSFA von manchen Personen Technik und Recht falsch bewertet. So höre ich von Technikern, dass bestimmte Maßnahmen nicht dem Risiko entsprechend seien. Auf die Frage „warum“ kommt ggf. die Antwort: „Weil das so ist.“
   Wenn es aber genau in der Frage schon z.B. eine eindeutige Stellungnahme des BGH oder eine ständige Rechtsprechung gibt, dann kann ich nicht zu dem Ergebnis kommen, dass hier ein hohes Risiko vorliegt. Eine juristisch als zulässig geklärte Datenverarbeitung kann im Ergebnis nicht dazu führen, dass in der DSFA ein voraussichtlich hohes Risiko verbleibt. Genau zu diesen Konsequenzen kann es aber bei strikter Anwendung des SDM kommen.
4. Solange das SDM nicht eng an die Datenschutz-Grundverordnung (DSGVO) angepasst ist (das ist derzeit – Stand: 16.03.2018 – nicht der Fall), kann es als Standard für eine DSFA zu zu engen Ergebnissen führen. Das sollte den Erstellern von DSFA bei der Wahl der Methode bewusst sein.

Ich halte das SDM für ein geeignetes „Modell“, um Datenverarbeitungsvorgänge zu prüfen. Die Anwendung des SDM ist aber juristisch nicht erforderlich und auch nicht zwingend. Dieser Eindruck wird z.T. erweckt. Juristisch zwingend ist allein die Einhaltung der Vorgaben des Art. 35 DSGVO. Nicht mehr und nicht weniger. Von der Anwendung des SDM oder eines sonstigen Standards steht da nichts. Und entgegen der Auffassung, die zuweilen geäußert wird, lässt sich das SDM auch nicht direkt aus der DSGVO ableiten. Sowohl die Grundrechte-Charta der EU als auch die Grundsätze der Datenverarbeitung in Art. 5 DSGVO sind im Hinblick auf Wertung und Gewichtung der Schutzziele nicht deckungsgleich mit den Schutzzielen und vor allem deren Gewichtung im SDM.

Was denn nun die Anforderungen aus Art. 35 DSGVO sind und welche Konsequenzen für die Umsetzung einer DSFA daher nach „gesundem Menschenverstand“ sich daraus meiner bescheidenen Meinung nach ergeben, können Datenschutz-Coaching-Mitglieder dem nachfolgenden Video (1:49h) entnehmen: