Bei der Bestandsaufnahme zu den Verarbeitungen sollte man immer prüfen (Erforderlichkeitsprüfung zur DSFA), ob eine oder mehrere Verarbeitungen die Voraussetzungen des Art. 35 DSGVO für eine Datenschutzfolgenabschätzung (DSFA) erfüllen.
Das Whitepaper "WP 248" der Art. 29 Working Party mit den dort genannten Kriterien für "Verarbeitungen mit einem hohen Risiko" hat hierbei immer noch Gültigkeit.
Ein klarer "Auslöser" für eine DSFA-Pflicht sind die "Muss-Listen" der Aufsichtsbehörden.
Ist eine Verarbeitung dort gelistet oder erfüllt sie voraussichtlich die Kriterien dort gelisteter Verarbeitungen, ist die Durchführung einer DSFA dringend anzuraten. Und der aufmerksame Leser wird feststellen, dass in den Muss-Listen ebenso mindestens 2 Kriterien aus dem WP 248 Rev. 01 zutreffen.
Was ist der Sinn einer DSFA?
Aus eigener Erfahrung kann ich sagen, dass eine DSFA zunächst für den Verantwortlichen überaus lästig und aufwändig erscheint. Stimmt auch, ist sie.
Man sitzt unter Umständen mehrere Tage an der Informationssammlung, Skizzierung der Datenflüsse, Analyse der Rechtsgrundlagen, etc. Und man braucht weitere Fachleute aus der IT, von Auftrags-Verarbeitern, Personalabteilung etc. um richtig zu verstehen, was der Zweck der Verarbeitung ist, welche Kategorien von Daten und Betroffenen relevant sind usw.
Aber während dieser Arbeit wird oftmals klar, dass Verantwortliche nicht genau wissen, was sie da eigentlich mit dieser Verarbeitung genau machen, welche Systeme eingebunden sind und was z.B. Zweck und Umstände der Verarbeitung sind. Es tauchen plötzlich an der Verarbeitung Beteiligte (z. B. Auftragsverarbeiter) auf, die vorher nicht im Bewusstsein waren.
Der "Sinn" der DSFA ist also, dass sich Verantwortliche zu besonders risikoreichen Verarbeitungen umfangreich Gedanken machen und entsprechende Vorkehrungen treffen um die Gefahr von Vorfällen im Zusammenhang mit diesen zu minimieren.
Wie fängt man nun mit einer DSFA an?
Die Datenschutzkonferenz hat in ihrem DSK-Kurzpapier Nr. 5 zur "Datenschutzfolgenabschätzung nach Art. 35 DS-GVO" einen möglichen Weg aufgezeigt.
Das ist eine sehr gute Anleitung für den Gesamtprozess und bildet noch dazu das ab, was Aufsichtsbehörden als akzeptable Vorgehensweise ansehen.
Allerdings hilft das Papier nicht direkt bei der praktischen Umsetzung. Was hier hilft, sind Tools und Vorlagen.
Werkzeuge zur Umsetzung
Software: Die französische Aufsichtsbehörde CNIL stellt auf ihren Webseiten das "Privacy Impact Assessment" (PIA) Tool zur Verfügung. Das gibt es auch in deutscher Sprache und es ist ein sehr gutes Werkzeug, um
Schritt für Schritt die notwendigen Informationen für eine DSFA bis hin zur grafischen Risiko-Matrix und einem DSFA-Bericht als PDF zu sammeln.
Bemerkenswert sind in diesem Tool die vielen direkt abrufbaren Hinweise zur Umsetzung und das integrierte Glossar. Den Risikoprozess kann man mit frei auswählbaren Bausteinen
abbilden.
Ein "manuelles" Tool: Der BayLfD hat für seine Behörden umfangreiche Vorlagen und Anleitungen zur DSFA-Durchführung zusammengestellt. Sehr hilfreich ist hier das "Modul 2: DSFA-Bericht in
Formularform für eine Verarbeitungstätigkeit".
Mit diesem Dokument kann man die Informationen ebenso sammeln wie mit dem PIA-Tool, allerdings muss man sich nicht in die Bedienung einer Software einarbeiten.
Natürlich fehlt aufgrund des manuellen Charakters (Word-Vorlage) z.B. die Abbildbarkeit eines Freigabe-Prozesses wie ihn das PIA-Tool bietet.
Das Datenfluss-Diagramm
Nach der Bildung des DSFA-Teams, der Festlegung des Scopes und Auswahl der Werkzeuge sollte man mit einer grafischen Darstellung der mit der Verarbeitung zusammenhängenden Systeme und Datenflüsse beginnen.
Dies erleichtert das Verständnis für die Verarbeitung und bildet die Grundlage für die weiteren Schritte wie Identifikation der Akteure, Kategorien von Daten und Personen etc. Mit dieser Übersicht lassen sich auch mögliche bisher nicht betrachtete Risiko-Quellen besser erkennen und im Rahmen des Risiko-Prozesses entsprechende Maßnahmen planen. Ein Tool wie z.B. Visio oder xMind hilft hier.
Welche Informationen braucht man nun für eine DSFA?
Die Verlockung ist groß, die Informationsaufbereitung für die DSFA so schnell und zeitsparend wie möglich durchzuführen. Beschreibungen werden gerne nur kurz zusammengefasst oder stichpunktartig aufgelistet.
Hier sollte sich der Verantwortliche aber wirklich die Zeit nehmen, detaillierte, vollständige und vor allem für einen Außenstehenden (Prüfer der Aufsichtsbehörde) nachvollziehbare Beschreibungen zu formulieren.
Mindestinhalt einer DSFA nach Art. 35 Abs. (7) DSGVO ist:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Wenn man sich den Aufbau des PIA-Tools und andere von den Aufsichtsbehörden veröffentlichte Informationen ansieht, dann sollte man bei einer DSFA aber eine Vielzahl weiterer Detail-Infos zur Verfügung stellen.
Aufsichtsbehörden könnten demnach in einem DSFA-Bericht folgende Informationen erwarten:
- Auflistung Akteure
- Beschreibung der Verarbeitung
- Detaillierte Beschreibung der Zweck(e) der Verarbeitung
- Auflistung aller Rechtsgrundlage(n) für die Verarbeitung
- Beschreibung des/der Einwilligungsprozess(e) sofern relevant
- Auflistung/Beschreibungen Normen, Standards, Zertifizierungen zur Verarbeitung
- Auflistung Zuständigkeiten für die Verarbeitung
- Beschreibung der Regelungen zu Verpflichtungen der Auftragsverarbeiter
- Beschreibung der Einbindung der betroffenen Personen in die DSFA (optional)
- Auflistung: Kategorien personenbezogener Daten
- Auflistung: Kategorien von betroffenen Personen
- Auflistung: Empfänger der personenbezogenen Daten
- Auflistung Empfänger in Drittländern oder internationale Organisationen (inkl. Garantien)
- Beschreibung: Lebenszyklus von Daten und Prozessen
- Auflistung: Betriebsmittel für die Datenverarbeitung
- Begründung: Verarbeitung zwingend erforderlich/verhältnismäßiges Mittel für den Zweck
- Begründung: Warum sind die verarbeiteten Daten erforderlich
- Beschreibung: Sicherstellung der Korrektheit und Aktualität der Daten
- Auflistung/Begründung: Speicherdauer der Daten
- Beschreibung: Umsetzung der Betroffenenrechte (Informations- und Auskunfts-Prozesse)
- Risikoprozess inkl. Beschreibung umgesetzter/geplanter Maßnahmen (datenschutzdocs.de)
- Beschreibung wie die Einhaltung der DSGVO bei der Verarbeitung sichergestellt ist
- Informationen zur Konsultation der Aufsichtsbehörde(n)
Der DSFA-Bericht
Nach Sammlung aller Informationen wird daraus der DSFA-Bericht mit ggf. Anlagen erstellt. Nicht alle Informationen müssen im Bericht selbst enthalten sein. Für umfangreiche Informationen und Listen kann im Bericht auf Anlagen zum DSFA-Bericht verwiesen werden.
Es ist ratsam, sowohl den DSFA-Bericht als auch die dazugehörigen Dokumente z.B. als PDF exportierbar vorzuhalten damit diese bei einer Prüfung durch die Aufsichtsbehörde mit Standard-Programmen lesbar sind.
War's das schon?
Nein - Die im Risikoprozess (externer Link, datenschutzdocs.de) geplanten Abhilfemaßnahmen müssen natürlich implementiert und auf ihre Wirksamkeit geprüft werden.
Ach ja - sollte sich im Risikoprozess herausgestellt haben, dass trotz aller Maßnahmen das Risiko der Verarbeitung weiterhin als hoch einzustufen ist, ist es eine gute Idee, die Aufsichtsbehörde zu konsultieren (Art. 36 Abs. 1 DSGVO) bevor die Verarbeitung freigegeben wird.
Und - eine DSFA ist kein "statisches" Werk. Die betreffende Verarbeitung muss gerade bei Veränderungen neu bewertet werden. Hierfür muss beim Verantwortlichen ein Prozess implementiert werden, der bei allen für die Verarbeitung Zuständigen sicherstellt, dass bei Änderungen der Verantwortliche und ggf. der DSB informiert wird.
Falls Sie Unterstützung bei einer DSFA brauchen - nehmen Sie Kontakt auf.
Weitere Informationen zum Risikoprozess finden Sie auch in der 3-teiligen Artikel-Serie hier.