Wo die größten Risiken lauern
DSGVO verlangt eine Datenschutz-Folgenabschätzung
Wien – Die Datenschutz-Folgenabschätzung ist ein zentraler Drehund Angelpunkt der DatenschutzGrundverordnung (DSGVO): Sie erfolgt für als besonders kritisch und riskant identifizierte Datenverarbeitungen. Ziel ist es, die tatsächlichen Risiken einer konkreten Verarbeitung von personenbezogenen Daten zu identifizieren (wie z. B. potenzielle Hackerangriffe, technische Schwachstellen wegen der eingesetzten Technologie, unachtsame Mitarbeiter), zu bewerten, risikominimierende Maßnahmen festzulegen und diese systematisch zu beschreiben (z. B. Firewall, Begrenzung der Zugriffsberechtigungen, Mitarbeiterschulung). Die Abschätzung dient nicht dem Selbstzweck, sondern ist die Basis für die Frage, ob und in welchem Umfang eine Datenverarbeitung überhaupt zulässig ist. Zugleich ist die DatenschutzFolgenabschätzung gemeinsam mit dem Verarbeitungsverzeichnis die Basis für etwaige Meldungen bei Datenschutzverstößen: Nur wer die Verarbeitungen sauber dokumentiert hat und die Risiken kennt, kann der Behörde im Anlassfall innerhalb der knappen 72-Stundenfrist die erforderliche detaillierte Auskunft geben.
Datenschutz-Folgenabschätzungen sind dann erforderlich, wenn die Datenverarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Betroffenen zur Folge hat. Das ist jedenfalls der Fall, wenn
eine Bewertung von Personen Q durch eine automatisierte Entscheidung stattfindet (Profiling),
umfangreich sensible (GesundQ heitsdaten!) oder strafrechtliche Daten (Whistleblowing-Hotline) verarbeitet werden oder
bei systematischer ÜberwaQ chung öffentlich zugänglicher Bereiche.
Eine gewisse Hilfestellung bieten die von der Datenschutzbehörde zu erlassenden Listen von Anwendungen, für die eine Abschätzung jedenfalls („black list“) oder nicht („white list“) notwendig ist. In einem ersten Behördenentwurf der „white list“werden die bisherigen Standardverarbeitungen, die etwa die praktisch relevanten Bereiche Kundenverwaltung, Rechnungswesen, Logistik, Buchführung und Personalverwaltung umfassen, ausgenommen. Gleiches gilt für Verarbeitungen, die nach dem alten Regime einer Vorabkontrolle der Datenschutzbehörde unterzogen wurden und im Wesentlichen unverändert weiterbetrieben werden.
Mindestinhalt einer Folgenabschätzung ist die systematische Beschreibung der Verarbeitung und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie der Risiken. Als letzter Schritt müssen die aufgrund des Risikos getroffenen Abwehrmaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren dokumentiert und implementiert werden.
Auf technischer Ebene bietet die ISO/IEC-29134:2017-Leitlinie eine Hilfestellung. Gibt es einen Datenschutzbeauftragten im Unternehmen, ist dieser beratend hinzuziehen; die Pflicht zur Durchführung bleibt beim Verantwortlichen. Wichtig ist auch, die DatenschutzFolgenabschätzungen laufend zu prüfen und an geänderte Umstände (neue Risiken, eingetretene Incidents) anzupassen.
AXEL ANDERL ist Managing Partner bei Dorda Rechtsanwälte, leitet das IT/IP-Team und ist Co-Leiter der Datenschutzgruppe. ANJA CERVENKA ist Rechtsanwaltsanwärterin bei Dorda und auf Datenschutzrecht spezialisiert. anja.cervenka@dorda.at