Webinaraufzeichnung: Datenschutz-Folgenabschätzung nach der GM-Methode

Es gibt eine Reihe von Ansätzen dafür, wie eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden kann. Die sind auch alle gut und hilfreich. Am Ende muss aber jeder, der eine DSFA schreiben oder so ein Projekt zu leiten hat, seinen eigenen Weg finden müssen, um hier die Einhaltung der gesetzlichen Anforderungen mit dem entstehenden Aufwand in Einklang zu bringen.

Da eine DSFA nur bei Verarbeitungen mit einem voraussichtlich hohen Risiko für die Betroffenen durchgeführt werden muss, wird dies in der Regel Verfahren oder Prozesse im Unternehmen betreffen, die nicht unbedingt trivial oder schnell zu beschreiben sind. Einigkeit dürfte daher darüber bestehen, dass eine DSFA auf einer Seite, also sozusagen als „One-Pager“ selten möglich sein wird.

Aber es müssen vielleicht auch nicht über 50 Seiten einer Bewertung nach dem sog. Standard-Datenschutzmodell (SDM) sein.

Es gibt ein paar hilfreiche Dokumente, die bei der Erstellung einer Datenschutz-Folgenabschätzung (DSFA) sehr hilfreich sein können:

Ich sitze nun aktuell an einigen DSFA. Und es zeigt sich folgendes:

  1. Es gibt keinen „One-Size-fits-all“- Ansatz. Mal passt z.B. das SDM, mal nicht. Warum nicht? Weil das SDM manchmal zu Aufwänden einer DSFA führen würde, die nicht im Verhältnis zum Risiko stehen. Das wird der eine oder andere anders sehen. Ist aber nun einmal meine Erfahrung.
  2. Eine DSFA ist nicht einfach. Die Ersteller brauchen nicht nur Erfahrung im Datenschutzrecht und Kenntnisse im technischen Bereich. Interdisziplinäre Teams, die es gewohnt sind, gemeinsam miteinander zu arbeiten, sind ein Schlüssel zu einer effektiven Erstellung von DSFA.
  3. Die Durchführung der DSFA ist eine rechtliche Anforderung. Leider wird bei der DSFA von manchen Personen Technik und Recht falsch bewertet. So höre ich von Technikern, dass bestimmte Maßnahmen nicht dem Risiko entsprechend seien. Auf die Frage „warum“ kommt ggf. die Antwort: „Weil das so ist.“
    Wenn es aber genau in der Frage schon z.B. eine eindeutige Stellungnahme des BGH oder eine ständige Rechtsprechung gibt, dann kann ich nicht zu dem Ergebnis kommen, dass hier ein hohes Risiko vorliegt. Eine juristisch als zulässig geklärte Datenverarbeitung kann im Ergebnis nicht dazu führen, dass in der DSFA ein voraussichtlich hohes Risiko verbleibt. Genau zu diesen Konsequenzen kann es aber bei strikter Anwendung des SDM kommen.
  4. Solange das SDM nicht eng an die Datenschutz-Grundverordnung (DSGVO) angepasst ist (das ist derzeit – Stand: 16.03.2018 – nicht der Fall), kann es als Standard für eine DSFA zu zu engen Ergebnissen führen. Das sollte den Erstellern von DSFA bei der Wahl der Methode bewusst sein.

Ich halte das SDM für ein geeignetes „Modell“, um Datenverarbeitungsvorgänge zu prüfen. Die Anwendung des SDM ist aber juristisch nicht erforderlich und auch nicht zwingend. Dieser Eindruck wird z.T. erweckt. Juristisch zwingend ist allein die Einhaltung der Vorgaben des Art. 35 DSGVO. Nicht mehr und nicht weniger. Von der Anwendung des SDM oder eines sonstigen Standards steht da nichts. Und entgegen der Auffassung, die zuweilen geäußert wird, lässt sich das SDM auch nicht direkt aus der DSGVO ableiten. Sowohl die Grundrechte-Charta der EU als auch die Grundsätze der Datenverarbeitung in Art. 5 DSGVO sind im Hinblick auf Wertung und Gewichtung der Schutzziele nicht deckungsgleich mit den Schutzzielen und vor allem deren Gewichtung im SDM.

Was denn nun die Anforderungen aus Art. 35 DSGVO sind und welche Konsequenzen für die Umsetzung einer DSFA daher nach „gesundem Menschenverstand“ sich daraus meiner bescheidenen Meinung nach ergeben, können Datenschutz-Coaching-Mitglieder dem nachfolgenden Video (1:49h) entnehmen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden