07104 Leitfaden für Datenschutz-Folgenabschätzungen
Im Rahmen der Betrachtung und Dokumentation der Verarbeitung personenbezogener Daten sind Verantwortliche dazu verpflichtet zu bewerten, ob für die Rechte und Freiheiten von betroffenen Personen mögliche Risiken bestehen. In bestimmten Bereichen der Datenverarbeitung und bei einem großen Risiko für die Rechte und Freiheiten von betroffenen Personen ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) obligatorisch. Die Strukturen der DSFA bieten dazu ein Verfahren, um die großen Datenschutzrisiken bei der Verarbeitung von personenbezogenen Daten zu identifizieren und zu minimieren.
Die Datenschutz-Folgenabschätzung mit der damit einhergehenden Risikoanalyse sollte grundsätzlich vor dem Beginn von der Verarbeitung personenbezogener Daten durchgeführt werden, sodass keine Datenverarbeitung mit großem Risiko begonnen wird, ohne dass sie im Vorfeld konkret betrachtet und bewertet wurde.
Der Beitrag soll als Leitfaden dienen und beschreibt dazu das Vorgehen zur Durchführung einer Datenschutz-Folgenabschätzung. Ergänzende Hilfen bieten Unterstützung bei der praktischen Umsetzung. Arbeitshilfen: von: |
1 Einleitung
Präambel
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument zur Abschätzung möglicher Auswirkungen auf die Privatsphäre, die von einem Prozess, einem Informationssystem, Programm, Software-Modul, Gerät oder von einem sonstigen Vorhaben ausgehen, das personenbezogene Daten (pbD) verarbeitet. Sie erfolgt in Rücksprache mit den Stakeholdern, um notwendige Schritte zum Umgang mit den Datenschutzrisiken zu ergreifen. Die DSFA ist ein Gesamtprozess aus Identifizieren, Analysieren, Bewerten, Beraten, Kommunizieren und Planen der Behandlung von möglichen Datenschutzfolgen unter Bezug auf die Verarbeitung pbD. Sie ist grundsätzlich ein Verfahren, um Verarbeitungsvorgänge, deren Teilaspekte und Assets hinsichtlich ihres möglichen Schadenspotenzials bezogen auf die pbD zu prüfen und zu bewerten. Die bei der im Rahmen einer DSFA durchzuführenden Risikoanalyse gewonnenen Erkenntnisse sind die Basis für die sich anschließende Risikobetrachtung, um geeignete technische und organisatorische Maßnahmen zu ermitteln und umzusetzen. Eine DSFA ist ein regelmäßig wiederkehrender Prozess, um die Verarbeitung von pbD zu betrachten und das Risiko für die Rechte und Freiheiten von betroffenen Personen zu bewerten. Sie ist zusätzlich ein geeignetes Instrument zur Nachweisführung, ob und wie der Verantwortliche die Datenschutz-Grundverordnung (DSGVO) hinsichtlich der jeweiligen Verarbeitung einhält.
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument zur Abschätzung möglicher Auswirkungen auf die Privatsphäre, die von einem Prozess, einem Informationssystem, Programm, Software-Modul, Gerät oder von einem sonstigen Vorhaben ausgehen, das personenbezogene Daten (pbD) verarbeitet. Sie erfolgt in Rücksprache mit den Stakeholdern, um notwendige Schritte zum Umgang mit den Datenschutzrisiken zu ergreifen. Die DSFA ist ein Gesamtprozess aus Identifizieren, Analysieren, Bewerten, Beraten, Kommunizieren und Planen der Behandlung von möglichen Datenschutzfolgen unter Bezug auf die Verarbeitung pbD. Sie ist grundsätzlich ein Verfahren, um Verarbeitungsvorgänge, deren Teilaspekte und Assets hinsichtlich ihres möglichen Schadenspotenzials bezogen auf die pbD zu prüfen und zu bewerten. Die bei der im Rahmen einer DSFA durchzuführenden Risikoanalyse gewonnenen Erkenntnisse sind die Basis für die sich anschließende Risikobetrachtung, um geeignete technische und organisatorische Maßnahmen zu ermitteln und umzusetzen. Eine DSFA ist ein regelmäßig wiederkehrender Prozess, um die Verarbeitung von pbD zu betrachten und das Risiko für die Rechte und Freiheiten von betroffenen Personen zu bewerten. Sie ist zusätzlich ein geeignetes Instrument zur Nachweisführung, ob und wie der Verantwortliche die Datenschutz-Grundverordnung (DSGVO) hinsichtlich der jeweiligen Verarbeitung einhält.
Leitfaden zur DSFA
Die nachfolgenden Ausführungen sollen Ihnen als Leitfaden dienen. Sie basieren auf den Anforderungen bzw. der Vorgehensweise gemäß Artt. 35, 36, 37, 38, 39, 47, 57 DSGVO, den Erwägungsgründen 84, 89, 90, 91, 92, 93, 94 und 95 zur DSGVO, §§ 5, 6, 7, 38, 64, 67, 69 Bundes-Datenschutzgesetz (BDSG), der ISO/IEC 29134 [1] , dem Kurzpapier Nr. 5 der Datenschutzkonferenz zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO [2] und dem WP 248 Rev. 01 der Art.-29-Arbeitsgruppe [3] .
Die nachfolgenden Ausführungen sollen Ihnen als Leitfaden dienen. Sie basieren auf den Anforderungen bzw. der Vorgehensweise gemäß Artt. 35, 36, 37, 38, 39, 47, 57 DSGVO, den Erwägungsgründen 84, 89, 90, 91, 92, 93, 94 und 95 zur DSGVO, §§ 5, 6, 7, 38, 64, 67, 69 Bundes-Datenschutzgesetz (BDSG), der ISO/IEC 29134 [1] , dem Kurzpapier Nr. 5 der Datenschutzkonferenz zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO [2] und dem WP 248 Rev. 01 der Art.-29-Arbeitsgruppe [3] .
Als grundsätzliche Struktur für den vorliegenden Leitfaden wurden zusätzlich Aspekte aus der DSFA-Methodik „Privacy Impact Assessment – PIA”, aus dem Standard-Datenschutzmodell der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder sowie aus dem Risikomanagement der Datenschutzkonferenz als methodische Grundlage kombiniert.