Datenschutz-Folgenabschätzung für Microsoft Teams in Kombination mit OneDrive, SharePoint Online und dem Azure Active Directory

Das niederländische Justiz und Sicherheit hat eine neue Version ihrer Datenschutz-Folgenabschätzung (DSFA) für den Einsatz von Microsoft Teams in Kombination with OneDrive, SharePoint Online und dem Azure Active Directory veröffentlicht. Das Dokument findest du hier: DPIA on Microsoft Teams, OneDrive Sharepoint and Azure AD (June 2021) – Version 1.1. vom 16.02.2022 (PDF) Das Inhaltsverzeichnis ist…

|

Webinar „Datenschutz-Folgenabschätzung (DSFA)“

Am 28.05.2020 hat das monatliche Webinar für Datenschutz-Coaching-Mitglieder mit dem Thema „Datenschutz-Folgenabschätzung (DSFA)“ stattgefunden. Wir haben uns damit beschäftigt, wann eine DSFA erstellt werden muss, wann eine DSFA erstellten werden sollte und vor allem wie eine DSFA erstellt werden sollte – mit einem Fokus auf die Risikoanalyse und -bewertung.

Die Aufzeichnung sowie die weiteren Unterlagen finden sich hier:

Webinar: Praktische Durchführung einer Datenschutz-Folgenabschätzung (DSFA)
|

Webinar: Praktische Durchführung einer Datenschutz-Folgenabschätzung (DSFA)

Am 14.03.2019 fand ein Webinar zum Thema Datenschutz-Folgenabschätzung (DSFA) statt. In dem Webinar habe ich unter anderem das Privacy Impact Assessment Tool („PIA-Tool“) der französischen Aufsichtsbehörde CNIL vorgestellt, mit dem in Unternehmen oder öffentlichen Stellen in recht einfacher Weise DSFAs durchgeführt werden können.

Wann sich der Einsatz dieses PIA-Tools empfiehlt und wann ich einen anderen (noch einfacheren) Ansatz in 6 Schritten empfehle, können Datenschutz-Coaching-Mitglieder der Aufzeichnung des Webinars (67 Minuten) entnehmen:

Ist eine Datenschutz-Folgenabschätzung bei einem „Headhunter“ erforderlich?

Ist eine Datenschutz-Folgenabschätzung bei einem „Headhunter“ erforderlich?

Ein Datenschutz-Coaching-Mitglied hat folgende Frage gestellt: Ein Headhunter hat eine Datenbank mit ca. 10.000 Bewerbungen. Das Vermitteln von Bewerbern ist natürlich sein Hauptgeschäft.Ist das umfangreiche Datenverarbeitung, so dass er eine DSFA machen muss und demnach auch einen DSB braucht? Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO immer dann erforderlich, wenn aufgrund der Art, des…

Webinaraufzeichnung: Datenschutz-Folgenabschätzung nach der GM-Methode
|

Webinaraufzeichnung: Datenschutz-Folgenabschätzung nach der GM-Methode

Es gibt eine Reihe von Ansätzen dafür, wie eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden kann. Die sind auch alle gut und hilfreich. Am Ende muss aber jeder, der eine DSFA schreiben oder so ein Projekt zu leiten hat, seinen eigenen Weg finden müssen, um hier die Einhaltung der gesetzlichen Anforderungen mit dem entstehenden Aufwand in Einklang zu bringen.

Da eine DSFA nur bei Verarbeitungen mit einem voraussichtlich hohen Risiko für die Betroffenen durchgeführt werden muss, wird dies in der Regel Verfahren oder Prozesse im Unternehmen betreffen, die nicht unbedingt trivial oder schnell zu beschreiben sind. Einigkeit dürfte daher darüber bestehen, dass eine DSFA auf einer Seite, also sozusagen als „One-Pager“ selten möglich sein wird.

Aber es müssen vielleicht auch nicht über 50 Seiten einer Bewertung nach dem sog. Standard-Datenschutzmodell (SDM) sein.

Es gibt ein paar hilfreiche Dokumente, die bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) sehr hilfreich sein können:

Ich sitze nun aktuell an einigen DSFA. Und es zeigt sich folgendes:

  1. Es gibt keinen „One-Size-fits-all“- Ansatz. Mal passt z.B. das SDM, mal nicht. Warum nicht? Weil das SDM manchmal zu Aufwänden einer DSFA führen würde, die nicht im Verhältnis zum Risiko stehen. Das wird der eine oder andere anders sehen. Ist aber nun einmal meine Erfahrung.
  2. Eine DSFA ist nicht einfach. Die Ersteller brauchen nicht nur Erfahrung im Datenschutzrecht und Kenntnisse im technischen Bereich. Interdisziplinäre Teams, die es gewohnt sind, gemeinsam miteinander zu arbeiten, sind ein Schlüssel zu einer effektiven Erstellung von DSFA.
  3. Die Durchführung der DSFA ist eine rechtliche Anforderung. Leider wird bei der DSFA von manchen Personen Technik und Recht falsch bewertet. So höre ich von Technikern, dass bestimmte Maßnahmen nicht dem Risiko entsprechend seien. Auf die Frage „warum“ kommt ggf. die Antwort: „Weil das so ist.“
    Wenn es aber genau in der Frage schon z.B. eine eindeutige Stellungnahme des BGH oder eine ständige Rechtsprechung gibt, dann kann ich nicht zu dem Ergebnis kommen, dass hier ein hohes Risiko vorliegt. Eine juristisch als zulässig geklärte Datenverarbeitung kann im Ergebnis nicht dazu führen, dass in der DSFA ein voraussichtlich hohes Risiko verbleibt. Genau zu diesen Konsequenzen kann es aber bei strikter Anwendung des SDM kommen.
  4. Solange das SDM nicht eng an die Datenschutz-Grundverordnung (DSGVO) angepasst ist (das ist derzeit – Stand: 16.03.2018 – nicht der Fall), kann es als Standard für eine DSFA zu zu engen Ergebnissen führen. Das sollte den Erstellern von DSFA bei der Wahl der Methode bewusst sein.

Ich halte das SDM für ein geeignetes „Modell“, um Datenverarbeitungsvorgänge zu prüfen. Die Anwendung des SDM ist aber juristisch nicht erforderlich und auch nicht zwingend. Dieser Eindruck wird z.T. erweckt. Juristisch zwingend ist allein die Einhaltung der Vorgaben des Art. 35 DSGVO. Nicht mehr und nicht weniger. Von der Anwendung des SDM oder eines sonstigen Standards steht da nichts. Und entgegen der Auffassung, die zuweilen geäußert wird, lässt sich das SDM auch nicht direkt aus der DSGVO ableiten. Sowohl die Grundrechte-Charta der EU als auch die Grundsätze der Datenverarbeitung in Art. 5 DSGVO sind im Hinblick auf Wertung und Gewichtung der Schutzziele nicht deckungsgleich mit den Schutzzielen und vor allem deren Gewichtung im SDM.

Was denn nun die Anforderungen aus Art. 35 DSGVO sind und welche Konsequenzen für die Umsetzung einer DSFA daher nach „gesundem Menschenverstand“ sich daraus meiner bescheidenen Meinung nach ergeben, können Datenschutz-Coaching-Mitglieder dem nachfolgenden Video (1:49h) entnehmen:

VLOG #1: Flensburg, Datenschutz-Folgenabschätzung & Fragenkatalog DSGVO
|

VLOG #1: Flensburg, Datenschutz-Folgenabschätzung & Fragenkatalog DSGVO

Jetzt dreht der Hansen-Oest total durch. Ein VLOG? Wirklich? Naja…da müsst ihr jetzt durch. Es wird jetzt aber auch nicht so sein, dass ich euch nun täglich zeige, was ich zum Frühstück gegessen habe. Aber in der ersten Folge musste genau das so sein. Es ist ja auch kein YouTube-VLOG, der jetzt wirklich regelmäßig wäre. Aber ich habe etwas bemerkt:

Ich bleibe bei YouTube immer an diesen VLOG-artigen Videos hängen. Paradebeispiel dafür. Ich verfolge schon seit einigen Jahren, was Marie Forleo so auf die Beine stellt. Unglaublich. Dieses Jahr ist sie dazu übergegangen, auch neben diesen durchproduzierten Videos eine „unplugged“-Serie zu machen. Und: Die ist großartig. Findet ihr übrigens hier, hat aber nichts mit Datenschutz zu tun.

Ich erkläre euch weiter unten noch die Motivation für dieses Video. Vielleicht interessiert das den einen oder anderen. Oder erklärt zumindest für diejenigen, die mit dem Video nichts anfangen können, was dahinter steckt.

Neben Flensburg und einem kleinen Einblick in meine Arbeit, geht es in diesem ersten „VLOG #1“-Video um auch zwei datenschutzrechtliche Tipps, die gestern auf meinem Rechner gelandet sind. Es sind zwei Dokumente, die ihr euch unbedingt ansehen solltet, wenn ihr euch mit der DSGVO beschäftigt: