Informationen zu DSFA | DPIA | PIA (Art. 35 DSGVO)


hohes Risiko -> Datenschutz-Folgenabschätzung


grundsätzliche Informationen zu Methoden der Risikoanalyse, die im Rahmen einer DSFA oder auch davor zur Feststellung des Risikos durchzuführen ist


 

1.       Allgemeines

 

Die Grundregel dafür, welcher Verantwortliche sie zu machen hat, findet sich in Art. 35 DSGVO.

 

Die Art. 29 Datenschutzgruppe hat bereits „Guidelines on Data Protection Impact Assessment (DPIA)“ veröffentlicht und die Konsultation dazu ist noch bis 23.05.2017 für die Öffentlichkeit zugänglich, d.h. jede/r Interessierte kann einen Kommentar abgeben. 
(http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083).

 

2.       Inhalt einer DSFA

 

Eine Datenschutz-Folgenabschätzung

 

·         beschreibt die Verarbeitungstätigkeit,

 

·         bewertet deren Notwendigkeit und Angemessenheit und

 

·         hilft die Risken für die Freiheiten und Rechte natürlicher Personen zu managen.

 

·         Die Risken werden bewertet und

 

·         es werden Maßnahmen festgelegt, um die Risken zu adressieren, dh die Eintrittswahrscheinlichkeit der erkannten Risken zu minimieren.          

 

 

 

3.       Warum eine DSFA?

 

Eine DSFA ist ein wesentlicher Bestandteil der Erfüllung der Rechenschaftspflicht (Accountability) nach Art. 5 (2) DSGVO, und hilft dem Verantwortlichen nicht nur, die Einhaltung der Regelungen der DSGVO zu erreichen (Compliance), sondern ermöglicht es auch, einen Nachweis zu haben, dass angemessene Maßnahmen gesetzt wurden, um die Regelungen einzuhalten (siehe auch Art. 24 DSGVO). Die DSFA ist ein Prozess, um Compliance zu erreichen und auch nachzuweisen.

 

 

 

4.       Wer hat eine DSFA zu erstellen?

 

a.       Gibt es Verarbeitungen, die keine DSFA erforderliche machen?

 

Nicht jede Verarbeitung von personenbezogenen Daten erfordert eine DSFA; das ergibt sich schon aus dem Grundkonzept eines risikobasierten Ansatzes aus der DSGVO und insbes. daraus, dass eine sog. weiße Liste von den Aufsichtsbehörden erstellt werden wird, die Datenverarbeitungen beinhalten wird, die keine Verpflichtung zur Erstellung einer DSFA auslösen. (siehe Art. 35 (5) DSGVO)

 

Jeder Verantwortliche, der Verarbeitungstätigkeiten vornimmt, die nicht auf der weißen Liste gem. Art 35 (7) DSGVO stehen, muss sich darüber Gedanken machen, welches Risiko für die Freiheiten und Rechte natürlicher Personen mit der Verarbeitung der personenbezogenen Daten verbunden ist.

 

Die (konkrete) Form der Verarbeitung (personenbezogener Daten natürlicher Personen) macht nur dann eine DSFA erforderlich, wenn sie „vorrausichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“. Wenn daher die Verarbeitungstätigkeit ein geringes oder ein mittleres Risiko nach sich zieht, und zwar aus der Sicht der natürlichen Personen, dann ist eine DSFA nicht erforderlich. Auch die auf der weißen Liste (noch nicht) genannten Verarbeitungstätigkeiten werden in diese Kategorie fallen. Ein Verarbeitungsvorgang mit personenbezogenen Daten, der kein Risiko für die Rechte und Freiheiten der natürlichen Personen darstellt, ist nicht denkbar; nur wenn Daten in einer nicht-personenbezogenen Form erhoben und verarbeitet werden, ohne dass ein Personenbezug (vom Verantwortlichen oder einem Dritten) hergestellt werden kann, liegt kein Risiko vor.

 

Die Aufsichtsbehörde wird auch Liste (schwarze Liste) von Verarbeitungsvorgängen erstellen, bei welchen eine DSFA verpflichtend durchzuführen ist (Art. 35 (7) DSGVO).

 

 

 

5.       Wie kann ein Verantwortlicher feststellen, ob eine Verarbeitung „voraussichtlich ein hohes Risiko“ darstellt?

 

Um jedoch erkennen zu können, welches konkrete Risiko eine Verarbeitungstätigkeit hat, ist eine grundsätzliche Einschätzung des Risikos der Verarbeitung notwendig. Nur dann kann der Verantwortliche einschätzen, ob ein „hohes Risiko“ iSd Art 35 (1) DSGVO vorliegt, und eine DSFA erforderlich ist, oder ein mittleres Risiko, welches die DSFA nicht notwendig macht.

 

a.       Beispiele in Art. 35 (3) DSGVO

 

Art 35 (3) DSGVO gibt Beispiele für Verarbeitungsvorgänge, bei denen ein hohes Risiko als gegeben erachtet wird, und zwar:

 

1.       systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

 

2.       umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

 

3.       systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

 

Die Beispiele der lit. 2. und 3. aus der demonstrativen (d.h. nicht abschließenden) Aufzählung in Art. 35 DSGVO sind relativ einfach nachvollziehbar; lit. 1. bezieht sich auf Verarbeitungsvorgänge, die aufgrund ihrer möglichen Auswirkungen bei Datenschutzverletzungen für die Rechte und Freiheiten der natürlichen Personen besondere Bedeutung haben können.       

 

b.      Feststellung, ob ein „hohes Risiko“ vorliegt

 

Wie stellt man nun fest, ob eine Datenverarbeitung ein „hohes“ Risiko für die Rechte und Freiheiten natürlicher Personen in sich birgt?

 

                                                              i.      Schutzbedarfsfeststellung nach Standarddatenschutzmodell (Deutschland)

 

Hier kann uU auf das Standarddatenschutzmodell V 1.0 (Stand Oktober 2016; empfohlen von den deutschen Datenschutzbehörden) zurückgegriffen werden.          
(https://www.datenschutz-bayern.de/technik/orient/sdm-handbuch.pdf)    

 

Nach dem SDM wird der „Schutzbedarf“ ermittelt, und zwar unter Berücksichtigung der „Eingriffsintensität“ und unter besonderer Berücksichtigung des Gewährleistungsziels „Vertraulichkeit“. Der Schutzbedarf ist aus der Sicht des Betroffenen und dessen Grundrechtsausübung zu definieren.

 

Das SDM beschreibt „Schutzbedarfsabstufungen“ und zwar:

 

Schutzbedarfskategorie „normal“

 

Da jede Verarbeitung personenbezogener Daten einen Eingriff in die Grundrechte der betroffenen Person darstellt, kann der Schutzbedarf gemäß SDM niemals niedriger als „normal“ sein. Deshalb ist grundsätzlich davon auszugehen, dass jedes personenbezogene Verfahren mindestens normalen Schutzbedarf aufweist. Weniger schutzbedürftig können folgerichtig nur Verarbeitungen mit nichtpersonenbezogenen Daten sein.

 

Schutzbedarfskategorie „hoch“

 

Folgende beispielhaft aufgeführte Verarbeitungsszenarien implizieren eine Eingriffsintensität, welche einen höheren als normalen Schutzbedarf zur Folge haben kann:

 

-          Verarbeitung nicht veränderbarer Personen-Daten, die ein Leben lang als Anker für Profilbildungen dienen können bzw. zuordenbar sind (z. B. biometrische Daten, Gendaten), - Verbreitung eindeutig identifizierender, hoch verknüpfbarer Daten (z. B. lebenslang gültige Krankenversichertennummer, Steuer-ID), - gesetzlich begründete oder anderweitig zu erklärende Intransparenz der Verfahrensweisen für Betroffene (z. B. Verfassungsschutz, Schätzwerte im Scoring), - Verarbeitung von Daten in einem Verfahren mit möglichen gravierenden, finanziellen Auswirkungen für Betroffene, - Verarbeitung von Daten in einem Verfahren mit möglichen Auswirkungen auf das Ansehen/die Reputation des Betroffenen, - Verarbeitung von Daten in einem Verfahren mit möglichen Auswirkungen auf die körperliche Unversehrtheit des Betroffenen,                

 

-          Verarbeitung von Daten, die realistischer Weise zu erwartende Auswirkungen auf die Grundrechtsausübung einer Vielzahl Betroffener haben können (z. B. bei zunehmend flächendeckender, öffentlicher Videoüberwachung), - Gefahr von Diskriminierung, Stigmatisierung (z. B. durch Algorithmen, intransparentes Zustandekommen von Entscheidungen eines Betroffenen), - Eingriffe in besonders geschützten inneren Lebensbereich eines Betroffenen.

 

Hoher Schutzbedarf für ein personenbezogenes Verfahren besteht darüber hinaus dann, wenn Betroffene von den Entscheidungen bzw. Leistungen einer Organisation abhängig sind (etwa in der. Leistungsverwaltung oder im medizinischen Bereich) und wenn eine Organisation

 

-          mit einer weitreichenden Eingriffsintensität Daten verarbeitet, was zu erheblichen Konsequenzen für den Betroffenen führen kann,

 

-          Daten verarbeitet, welche gesetzlich als besonders schutzwürdig ausgewiesen sind,

 

-          keine real nachweislich funktionierenden Möglichkeiten der Intervention und des Selbstschutzes für Betroffene bereitstellt.

 

Ein hoher Schutzbedarf besteht auch dann, wenn es ist nicht möglich ist, dass Konflikte unter realistisch zu bewältigenden Bedingungen für den Betroffenen vor Gericht geklärt werden können (Bsp. Anbieter von Telekommunikationsdienstleitungen ohne Niederlassung vor Ort). Die DS-GVO versucht dieses Problem durch Einführung des Marktortprinzips zu lösen.

 

In einigen Fällen ergibt sich aus der DSGVO (bspw. Art. 35 Abs. 3) der Schutzbedarf. Wenn diese besonderen Arten personenbezogener Daten verarbeitet werden, bedarf es grundsätzlich keiner weiteren Abstimmung oder Erwägungen, sondern es ist von einem „hohen Schutzbedarf“ auszugehen.

 

Schutzbedarfskategorie „sehr hoch“

 

Von sehr hohem Schutzbedarf ist auszugehen, wenn ein Betroffener von den Entscheidungen bzw. Leistungen der Organisation unmittelbar existentiell abhängig ist und zusätzliche Risiken für den Betroffenen nicht bemerkbar sind.

 

Nach Festlegung des Schutzbedarfes ist eine Risikoanalyse durchzuführen. Es soll beurteilt werden, wie groß die Eintrittswahrscheinlichkeit ist, dass die betreffende Organisation trotz aller getroffenen Maßnahmen zum Schutz der Grundrechte Datenschutzvorgaben nicht einhalten wird.          

 

                                                            ii.      Risikoanalyse (Bayern)              

 

Das Bayerische Landesamt für Datenschutzaufsicht vertritt eine etwas andere Ansicht, die jedoch zum gleichen Ziel führt; uU ist dieser Ansatz etwas einfacher gestaltet.   (https://www.lda.bayern.de/media/baylda_ds-gvo_18_privacy_impact_assessment.pdf)

 

Die Risikoanalyse ist ausgehend von objektiven Kriterien durchzuführen; es werden Faktoren wie Eintrittswahrscheinlichkeit, Schaden sowie Art, Umstände, Umfang und Zweck der Verarbeitung betrachtet.

 

Die Eintrittswahrscheinlichkeit (siehe ErwG 91) ist aus Sicht des Betroffenen zu beurteilen, und es ist die „Risiko-Quelle“ (der Angreifer) zu identifizieren.

 

Der Schaden ist aus Sicht der DSGVO zu ermitteln und kann in unterschiedlichen Ausprägungen (aus Sicht des Betroffenen) eintreten (siehe u.a. ErwG 75): Diskriminierung, Identitätsdiebstahl, finanzieller Verlust, Rufschädigung, Hinderung der Kontrolle über eigene Daten, Profilbildung mit Standortdaten

 

 

 

                                                          iii.      Privacy Impact Assessment (PIA) – Methodology (how to carry out a PIA) (französische Datenschutzbehörde CNIL)      

 

Die französische Datenschutzbehörde hat bereits im Jahr 2010 ein 19-seitiges Dokument zur DSFA veröffentlicht, welches ähnlich dem Bayerischen Modell von „serverity“ („Ausmaß des Risikos“) und „likelihood“ („Wahrscheinlichkeit“) ausgeht.            (https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-1-Methodology.pdf)

 

 

 

6.       Folgen der Risikoanalyse / Risikoeinschätzung

 

Wenn sich herausstellt, dass das Risiko als „nicht hoch“ einzustufen ist, dann muss eine DSFA nicht durchgeführt werden; dennoch empfiehlt es sich, den Prozess der Risikoanalyse zu dokumentieren, um einen Nachweis zu haben.

 

Wenn sich ein hohes Risiko herausstellt, dann ist eine DSFA zu erstellen, in deren Rahmen auch die technischen, organisatorischen und rechtlichen Maßnahmen darzustellen sind, die dem Risiko bzw. der Eintrittswahrscheinlichkeit entgegenwirken („Privacy Controls“). Diese Maßnahmen ergänzen die Datensicherheitsmaßnahmen (Art. 32 DSGVO).

 

Verbleibt auch nach Durchführung der festgelegten Maßnahmen noch immer („restlich“) ein „hohes Risiko“ dann ist die zuständige Aufsichtsbehörde zu konsultieren.

 

Kommentar schreiben

Kommentare: 0