Datenschutz-Folgenabschätzung (DSFA) mit Muster nach Art. 35 DSGVO

Datenschutzfolgeabschätzung (DSFA) nach Artikel 35 DSGVO erstellen. Sie finden ein Muster als Excel Vorlage im Beitrag.

So richtig „ran getraut“ an eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO haben sich bisher nur wenige. Die Informationen, die man darüber findet, sind auch äußerst dürftig – jedenfalls richtig gute.
Wir haben uns intensiv mit dem Thema DSFA befasst. Die Erkenntnisse, Vorgehensweisen und Empfehlungen dazu fasse ich in (hoffentlich gewohnter 🙂 ) kompakter und verständlicher Weise zusammen.

Es gibt sie nicht, die „Eine“, die richtige oder falsche Vorgehensweise für die Durchführung einer Datenschutz-Folgenabschätzung. Neben der DSGVO gibt es sogar eine internationale ISO Norm dazu. Die ISO/IEC 29134 (Guideline for privacy Impact assessment) stellt dazu ein Regelwerk bereit.

Für unsere Leser und Kunden ist es mir wichtig, eine Lösung vorzustellen, die den gesetzlichen Anforderungen entspricht, aber auf der anderen Seite auch praxisorientiert und machbar ist.

Inhaltsverzeichnis

Exkurs Risikomanagement

Bevor wir im Detail in die DSFA gehen, ist es unerlässlich, die Grundpfeiler der Risikoanalyse zu verstehen. Die Datenschutz-Folgenabschätzung ist nämlich nichts anderes als eine Risikobewertung. Ich möchte an dieser Stelle kurz auf die Basics eingehen. Eine ausführliche Beschreibung finden Sie im Beitrag Risikoanalyse durchführen.

Definition Risiko

In der Risikodefinition orientiere ich mich am gängigen Standard, der auch in der Norm ISO 31000 zu finden ist. Ein Risiko ist definiert:

Risiko = Schaden x Eintrittswahrscheinlichkeit

Eine wichtige Voraussetzung bei der Durchführung von Risikobewertungen – egal ob DSFA, Gefährdungsbeurteilung, medizinische oder sonstige Risiken – ist der systematische Ansatz sowie die Reproduzierbarkeit.

Das heißt, würden zwei Personen mit demselben Wissen dasselbe Risiko bewerten, müssten Sie zum gleichen Ergebnis kommen. Mit der obigen Definition von Schaden und Eintrittswahrscheinlichkeit wird das schwierig. Den Personen, die Risiken bewerten, muss daher eine Hilfestellung an die Hand gegeben werden.

In der Regel verwendet man zur Bewertung von Schaden und Eintrittswahrscheinlichkeit Klassen. Diese Klassen müssen wiederum so beschrieben sein, dass eindeutig zu erkennen ist, was darunter zu verstehen ist. Ein ausführliches Beispiel finden Sie im Artikel zur Risikoanalyse.

Vorausgehende Definitionen zur Datenschutz-Folgenabschätzung

Wie gerade erwähnt, müssen Sie sich überlegen, wie Sie Schaden und Eintrittswahrscheinlichkeit konkret definieren, bevor sich an die Erfassung möglicher Risikoszenarien machen.

Ich habe versucht, mich am Fallbeispiel DSFA des Landesamts für Datenschutz in Bayern zu orientieren. Recht glücklich werde ich damit aber nicht. Die Eintrittswahrscheinlichkeiten sind wenig konkret formuliert. In den möglichen Schadenskategorien werden zudem Schaden und Ursache in einen Topf geworfen. Die unbefugte Aufhebung von Pseudonymisierung ist in meinem Verständnis kein Schaden, sondern eher eine Ursache, die zu einem Schaden (z.B. Diskriminierung, Identitätsdiebstahl…) führen kann. Aus diesem Grund versuche ich, mich zwar an den Empfehlungen des Landesamts für Datenschutz und der DSK zu orientieren, passe sie aber an der einen oder anderen Stelle etwas an.

WICHTIG! Nachfolgende Klassen von Schaden- und Eintrittswahrscheinlichkeiten sind rein beispielhaft. Prüfen Sie, ob diese für Sie so überhaupt sinnvoll sind und passen Sie die Definitionen an.

Schadenskategorien

Die Vorgaben vom Landesamt für Datenschutz finde ich großteils sehr gut und übernehme sie an dieser Stelle. Die Liste ist erweiterungsfähig, aber gibt einen guten Einstieg.

  • Diskriminierung
  • Identitätsdiebstahl
  • Lebensgefahr
  • Existenzgefährdung
  • Finanzieller Schaden
  • Rufschädigung
  • Bloßstellung
  • Verlust des Arbeitsplatzes
  • Geheimnisoffenberung
  • Gesellschaftliche Nachteile
  • Wirtschaftliche Nachteile
  • …. weitere Schadenskategorien möglich

Definition Schadensklassen

Damit wir aber bewerten können, wann ein Schaden für den Betroffenen nun gering oder hoch ist, bedarf es noch weiterer Kriterien. Diese Kriterien können Sie natürlich anders einstufen. Sehen Sie es lediglich als Umsetzungsvorschlag und passen Sie es an Ihre Bedürfnisse an – wie oben schon erwähnt.

 geringüberschaubarsubstantiellhoch
DiskriminierungDiskriminierung des Betroffenen in einem Teilbereich seines Lebens (z.B. Arbeitsstelle durch Kollegen)Diskriminierung des Betroffenen im gesamten Lebensumfeld.
IdentitätsdiebstahlIdentitätsdiebstahl
LebensgefahrLebensgefahr
ExistenzgefährdungExistenzgefährdung
Finanzieller Schadenim Rahmen eines Monatsgehaltsim Rahmen mehrerer Monatsgehälterim Rahmen eines JahresgehaltsVerlust der gesamten persönlichen finanziellen Werte (inkl. Immobilien u.ä.)
RufschädigungRufschädigung des Betroffenen in einem Teilbereich seines Lebens (z.B. im beruflichen)Rufschädigung des Betroffenen im gesamten Lebensumfeld.
BloßstellungBloßstellung des Betroffenen in einem Teilbereich seines Lebens (z.B. im beruflichen)Bloßstellung des Betroffenen im gesamten Lebensumfeld.
Verlust des ArbeitsplatzesVerlust des Arbeitsplatzes
GeheimnisoffenbarungGeheimnisoffenbarung hat Auswirkungen auf einen Teilbereich des Lebens des Betroffenen.Geheimnisoffenbarung hat Auswirkungen auf das gesamte Leben des Betroffenen.
Gesellschaftliche oder wirtschaftliche Nachteilekeine bzw. sehr geringe Auswirkungen im täglichen LebenAuswirkungen sind für den Betroffenen spürbar und führen zu kleinen Einschränkungen / Nachteilen.Auswirkungen haben Nachteile für den Betroffenen im täglichen Leben. Auswirkungen haben große Nachteile auf den Betroffenen und ggf. auf sein persönliches Umfeld (z.B. Familie).

Definition Eintrittswahrscheinlichkeiten

In diesem Fall nenne ich die Klassen, wie auch sonst meistens in der Risikoanalyse, gering bis sehr hoch. Sie sind natürlich frei in der Namensgebung:

EintrittswahrscheinlichkeitSchätzung für die ZukunftBlick in die Vergangenheit
geringVorfall tritt frühestens in 6 Jahren oder später einVorfall bisher noch nie eingetreten bzw. vor über 6 Jahren eingetreten
mittelVorfall tritt in den nächsten 4-6 Jahren einVorfall ist in den letzten 4-6 Jahren eingetreten
hochVorfall tritt in den nächsten 1-3 Jahren einVorfall ist in den letzten 1-3 Jahren eingetreten
sehr hochVorfall tritt im nächsten Jahr einVorfall ist im letzten Jahr eingetreten

Definition Risikoklassen

Das Risiko ergibt sich aus der Schadensklasse und der Klasse für die Eintrittswahrscheinlichkeit. Damit wir einen Risikowert berechnen können, hinterlegen wir zu jeder Klasse einen mathematischen Wert. Dieser Wert ist frei wählbar und kann genauso gut 10, 15, 20 oder 100, 200, 300 sein. Es geht uns damit lediglich darum, das Risiko leicht berechnen zu können.

Wann handelt es sich um ein Risiko?

Wichtig ist es, vor der Durchführung der DSFA zu definieren, ab wann ein Risiko wirklich auch ein Risiko darstellt. Es sollte klar sein, welches Risiko behandelt werden muss. In unserem Beispiel definieren wir, dass Risiken bis zu dem Wert 3 automatisch akzeptiert werden. Das heißt Risiken mit geringem Schadensausmaß und maximal einer hohen Eintrittswahrscheinlichkeit werden zum Beispiel akzeptiert (siehe Grafik unten).

Risiken mit Werten zwischen 4 und 8 klassifizieren wir als mittlere Risiken, die einer Risikobehandlung bedürfen. Alle hohen Risiken mit einem Wert größer 8 sind zwingend zu behandeln.

Weitere Grundlagen zur Risikobehandlung finden Sie wieder im Blogbeitrag zur Risikoanalyse.

Risikomatrix mit Risikoakezptanzniveau für die Datenschutzfolgeabschätzung.
Risikomatrix mit Risikoakezptanzniveau für die Datenschutz-Folgenabschätzung.

So, genug mit der Vorarbeit. Starten wir nun endlich mit der eigentlichen Datenschutz-Folgenabschätzung.

Startpunkt Verfahrensverzeichnis

Bevor das Thema DSFA überhaupt auf den Tisch kommt, muss zuallererst ein Verfahren in der Verfahrensübersicht beschrieben werden. Je besser die Dokumentation bereits in der Verfahrensbeschreibung ist, desto mehr Arbeit erspart man sich bei der Durchführung der DSFA.

Überlappung von Verfahrensverzeichnis und DSFA

Artikel 35 (7) lit. a DSGVO fordert eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, des Zwecks und ggf. der vom Verantwortlichen verfolgten berechtigten Interessen.

Artikel 35 (7) lit. b DSGVO ergänzt die Anforderung um eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.

Der erfahrene Ersteller eines Verfahrensverzeichnis freut sich: „Das haben wir ja alles bereits im Verarbeitungsverzeichnis beschrieben.“
Na gut, die Bewertung der Notwendigkeit und Verhältnismäßigkeit ist vielleicht nicht so ausführlich beschrieben, aber das kann man ja im Einzelfall bei der Zweckbeschreibung noch ergänzen, falls es zu einer DSFA kommen sollte.

Absprung aus dem Verfahrensverzeichnis in die DSFA

Da unser Ziel ist, mit der DSFA redundante (also doppelte) Daten zu vermeiden, verknüpfen wir das Verfahrensverzeichnis gleich mit der DSFA. Das heißt, im beigefügten Excel-Muster ist die Datenschutz-Folgenabschätzung ein separates Tabellenblatt im Verfahrensverzeichnis.

Wie ermittelt sich der „Schwellwert“, anhand dessen eine Datenschutz-Folgenabschätzung überhaupt nötig wird?

Das ist aus meiner Sicht eigentlich der schwierigste Punkt. Nach mehreren Diskussionen mit Experten und der Behörde ist mein Vorschlag nun zweistufig. 

Schwellwertanalyse für die Datenschutz-Folgenabschätzung

Schwellwertanalyse 1. Schritt – Schaden

Bisher haben wir das Verfahren im Verfahrensverzeichnis beschrieben und so gut es geht dokumentiert. An dieser Stelle befassen wir uns nun im Verfahrensverzeichnis mit dem potentiellen Schaden, welcher möglicherweise für die Betroffenen bestehen könnte.
Uns interessiert hier (mit Blick auf die DSFA) tatsächlich nur, ob das Verfahren ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt.

Der potentielle Schaden muss hoch sein und ebenso die Eintrittswahrscheinlichkeit. Aus dieser Kombination ergibt sich nun entsprechend einem hohen Schaden und einer hohen Eintrittswahrscheinlichkeit ein hohes Risiko für den Betroffenen.

In Bezug auf das Muster am Ende dieses Artikels müssen Sie sich überlegen, ob überhaupt ein hoher Schaden für den Betroffenen möglich ist. Im Muster unterscheide ich noch zwischen einem „substantiellen“ und einem „hohen“ Schaden. Hier lehne ich mich an die oben beschriebenen Schadensklassen an.

Wenn Sie einen hohen oder substantiellen Schaden potentiell in Erwägung ziehen, ist es nötig, sich auch über die Eintrittswahrscheinlichkeit Gedanken zu machen. Bei einer geringen Eintrittswahrscheinlichkeit kommt auch, wie wir wissen, kein hohes Risiko zu Stande. Im Muster stehen wieder die genannten Klassen für die Eintrittswahrscheinlichkeit zur Verfügung.

Nun haben Sie also ermittelt, ob ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Falls ja, geht’s in den 2. Schritt der Schwellwertanalyse. Falls nein, haben wir das Verfahren um eine wichtige Information ergänzt und können damit jederzeit begründen, warum wir keine Datenschutz-Folgenabschätzung durchgeführt haben.

Schwellwertanalyse 2. Schritt – Weitere Bewertungskriterien für die Erforderlichkeit einer Datenschutz-Folgenabschätzung

Im Erwägungsgrund 91 wird sehr genau aufgelistet, wann eine DSFA durchgeführt werden muss. Die erste Voraussetzung, dass es sich um ein hohes Risiko für den Betroffenen handeln muss, haben wir an dieser Stelle bereits erfüllt.

Die weiteren Bewertungskriterien lassen sich in vier Überpunkte gliedern.

  1. Besonderheiten bei der Verarbeitung
    1. Verarbeitung einer großen Menge an personenbezogenen Daten
    2. Verarbeitung betrifft bzw. kann eine große Zahl von Personen betreffen
    3. Einsatz neuer Technologie in großem Umfang
    4. Verarbeitung erschwert den betroffenen Personen die Ausübung ihrer Rechte
    5. Verarbeitung erschwert oder hindert den Betroffenen bei der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags
    6. Verarbeitung von Daten schutzbedürftiger Personen
  2. Automatisierte Entscheidungsfindung in Bezug auf natürliche Personen
    1. durch systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage eines Profilings personenbezogener Daten
    2. durch die Verarbeitung besonderer Kategorien von personenbezogenen Daten
    3. durch die Verarbeitung biometrischer Daten
    4. durch die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherungsmaßregeln
  3. Überwachung von Bereichen
    1. Weiträumige Überwachung öffentlich zugänglicher Bereiche (mittels optoelektronischer Vorrichtungen)
  4. Einschätzung der Aufsichtsbehörde
    1. Zuständige Aufsichtsbehörde hat das Verfahren auf der DSFA Blacklist veröffentlicht

Können Sie mindestens einen dieser vier Punkte mit „Ja“ bzw. „trifft zu“ beantworten, empfehle ich Ihnen, eine Datenschutz-Folgenabschätzung durchzuführen.

Allein der Punkt 4 „Blacklist der Aufsichtsbehörde“ stellt laut telefonischer Aussage der Bayerischen Aufsichtsbehörde noch keine zwingende Voraussetzung für die Durchführung einer Datenschutz-Folgenabschätzung. Vorausgehen muss immer ein hohes Risiko für die betroffenen Personen. Das haben wir in diesem Fall aber, da Sie ansonsten nicht in den 2. Schritt der DSFA Relevanz gegangen wären.

Vorteil dieser 2-stufigen Schwellwertanalyse

Was mir an dieser 2-stufigen Lösung – ohne Eigenlob – gut gefällt, ist die Nachvollziehbarkeit und der durchgehende systematische Ansatz. Jedes Verfahren – und sei es noch so trivial – wird der Risikobewertung in Bezug auf ein hohes Risiko unterworfen. Eine „manuelle“ Vorauswahl, ohne nachvollziehbare und belegte Entscheidung entfällt dadurch. Für jedes Verfahren greifen dieselben Bewertungsregeln.

Um Aufwand zu sparen, geht man nur in den 2. Schritt der Schwellwertanalyse, wenn man im Verfahrensverzeichnis ein hohes Risiko nachweisen kann. Für alle anderen Verfahren entfällt die Bewertung für die Erforderlichkeit einer Datenschutz-Folgenabschätzung.

Durchführung einer Datenschutz-Folgenabschätzung mit Muster

Wie schon eingangs erwähnt, handelt es sich bei der DSFA um eine ausführliche Risikoanalyse. Eigentlich eine schöne Sache, wenn man sich mit der Risikoanalyse mal angefreundet hat. Ich bin jedenfalls ein Fan davon.

Nachfolgend beschreibe ich die aus meiner Sicht sinnvollen Informationen für eine gute Risikoanalyse.

Die folgende Vorgehensweise richten sich nach der ISO 31000 und findet sich auch in der ISO 27001 wieder.

Bei der DSFA kann es schon mal inhaltlich komplex werden. Planen Sie ein Team, welches die Risiken identifiziert, analysiert und bewertet. Das sollten Sie nicht im Alleingang durchführen. Qualitativ hochwertig kann das Ergebnis nur werden, wenn Sie von allen beteiligten Stellen den nötige fachlichen Input einfordern.

Informationen aus dem Verfahrensverzeichnis

Wie schon oben erläutert, übernehmen wir die Inhalte eins zu eins aus dem Verfahrensverzeichnis. Anpassungen werden gegebenenfalls direkt im Verfahrensverzeichnis gemacht.

Hinweise zur Excel Vorlage:

Für die Excel Vorlage im Anhang bedeutet das, dass Sie mit folgendem Befehl auf den Inhalt des Verfahrens zugreifen:

=Verfahrensverzeichnis!D3

D3 steht in diesem Fall für die Spalte D3. Wenn das Verfahren in einer Zeile weiter unten steht, ersetzen Sie die 3 durch die entsprechende Zeilennummer. In Spalte D finden Sie den Verfahrensnamen, in Spalte E die Beschreibung, in Spalte F die Rechtmäßigkeit. Die Personengruppen sind in Spalte I zu finden und die Datenkategorien in Spalte J.

Einige Pflichtangaben für die Datenschutzfolgenabschätzung können direkt aus dem Verfahrensverzeichnis übernommen werden.
Einige Pflichtangaben für die Datenschutz-Folgenabschätzung können direkt aus dem Verfahrensverzeichnis übernommen werden.

Beschreibung des Risikoszenarios

Gleich vorweg: Eine Datenschutz-Folgenabschätzung hat wahrscheinlich mehr als nur ein Risikoszenario, welches bewertet wird. Daher sind nachfolgende Felder für jedes Szenario auszufüllen.

Was ist aber nun ein Risikoszenario?

Eine simple Frage, die in der Praxis aber doch gar nicht so trivial zu beantworten ist. Ein Risikoszenario setzt sich aus mehreren Informationen zusammen. Es geht nicht nur um das Szenario selber, also den Vorfall (z.B. Erdbeben), sondern auch darum, was dieser Vorfall letztendlich auslösen kann.
Aber mehr im Detail dazu in den folgenden Absätzen.

Beschreibung eines möglichen Vorfalls

Was kann im schlimmsten Fall passieren? Das wäre zum Beispiel der Ausfall des IT-Systems, welches personenbezogenen Daten gespeichert hat. Das ist der Vorfall oder wie man laut ITIL sagen würde, der Incident bzw. Security Incident.

Aus meiner Erfahrung in der Durchführung von Risikoanalysen hören viele an dieser Stelle auf. Das ist aber aus meiner Sicht noch kein Risiko. Zum Risiko wird es erst mit der Aussage: „…führt zu“.

Beschreibung des Schadens

Allein der Ausfall eines IT Systems bringt noch nicht zwingend einen Schaden mit sich. Vergleichen wir es mit dem Ausfall eines IT Systems für die Lohnabrechnung. Ein Ausfall wäre bei den meisten Unternehmen 15 Tage im Monat kein Problem. Ein Schaden entsteht erst, wenn es genau an den anderen Tagen ausfällt, an dem die Personalabteilung die Lohnabrechnung durchführen möchte.

Das heißt, um einen Schaden überhaupt greifbar zu machen, empfehle ich, dass Sie sich Gedanken über das „…führt zu“ machen. Wozu kann der Ausfall des IT-Systems führen? Welcher Schaden könnte dadurch dem Betroffenen zustoßen? Betrachten wir ein Krankenhaus, dann würde ein Ausfall des IT-Systems dazu führen, dass die Patienten vielleicht nicht mehr richtig versorgt werden können.

Ursache für das Eintreten des Vorfalls

Das ist eine Information, die Sie nicht in vielen Risikoanalysen finden. Ich finde sie aber für das Verständnis des Szenarios und für mögliche Maßnahmen sehr wichtig und hilfreich.

Was aber ist die Ursache / der Grund / die Schwachstelle? Weswegen kann der Vorfall überhaupt eintreten? Wenn wir wieder den Ausfall des IT-Systems betrachten, kommen wir schnell zur Erkenntnis, dass ein Ausfall des IT-Systems viele Gründe haben kann. Es kann daran liegen, dass der Strom im Rechenzentrum ausgefallen ist. Genausogut kann es sich aber auch um einen technischen Defekt am Server handeln. Jeder dieser Gründe muss wahrscheinlich mit unterschiedlichen Maßnahmen behandelt werden. Für unsere Datenschutz-Folgenabschätzung in Excel heißt das, wir kopieren dieses Szenario (Ausfall IT-System) so oft in eine neue Zeile, bis wir alle Ursachen ermittelt haben.

Bewertung des Schadens

Erst mit der konkreten Beschreibung, wozu der potentielle Vorfall eigentlich führen könnte, kann auch der Schaden beziffert werden. Blicken wir noch mal auf das Krankenhaus, dessen IT-System ausfällt und dadurch die Patientenversorgung beeinträchtigt wird. Die Patientenversorgung wäre dann der mögliche Schaden, der zu bewerten ist.

Das Krankenhaus ist ein gutes Beispiel. Sicherlich wird ein IT-System nicht eingeführt, ohne dass man sich vorher über grundlegende Schutzmaßnahmen bezüglich Verfügbarkeit, Vertraulichkeit und Integrität Gedanken macht. Das heißt, in den meisten Fällen gibt es bereits Maßnahmen, die greifen, um den Schaden oder die potentielle Eintrittswahrscheinlichkeit zu verringern. Diese bestehenden Maßnahmen sollten Sie natürlich auch einbeziehen in die Bewertung des Schadens.

Schadensklassen haben wir ganz vorbildlich schon vor der Durchführung der DSFA definiert. Auf diese beziehen wir uns nun.

In unserer Tabelle ist Lebensgefahr mit einem „hohen“ Schaden gekennzeichnet. Das wollen wir dann auch so übernehmen.

Eintrittswahrscheinlichkeit

Die Bewertung der Eintrittswahrscheinlichkeit bezieht sich in der Regel auf die Ursache, die wir zum Glück explizit betrachtet haben. Das heißt aber auch, jede Ursache kann eine andere Eintrittswahrscheinlichkeit haben. Diese Eintrittswahrscheinlichkeit zu ermitteln ist ein bißchen wie ein Blick in die Glaskugel. Hilfreich für die Bewertung ist manchmal ein Blick auf die letzten Ereignisse.

Wie bei der Schadensbewertung sollten auch bei der Eintrittswahrscheinlichkeit bestehende Schutzmaßnahmen in die Bewertung einbezogen werden. Ein hoch verfügbares System, verteilt auf zwei örtlich getrennte Rechenzentren, mindert natürlich die Eintrittswahrscheinlichkeit eines kompletten Ausfalls des IT-Service.

Die Eintrittswahrscheinlichkeit für einen Stromausfall, der zum Ausfall des IT-Systems führt setzen wir auf „mittel“. Es gibt eine redundante Stromversorgung in zwei getrennten Kreisen, die den Ausfall minimiert.

Weitere Daten für die Datenschutz-Folgenabschätzung

Nun könnten wir das Risiko ja schon errechnen. Wir haben den Schaden bewertet und uns über die Eintrittswahrscheinlichkeit Gedanken gemacht. Der Artikel 35 der DSGVO möchte noch zusätzlich wissen, ob es Verhaltensregeln nach Art. 40 gibt und wenn ja, ob diese auch eingehalten werden. Ich denke, in den meisten Fällen gibt es bisher noch keine von den Behörden genehmigten Verhaltensregeln. Daher entfällt wohl bei den meisten dieser Punkt. Der Vollständigkeit halber möchte ich ihn aber erwähnen und im Muster aufnehmen.
Letztendlich sind umgesetzte Verhaltensregeln nichts anderes als Schutzmaßnahmen. Damit wird entweder der potentielle Schaden oder die Eintrittswahrscheinlichkeit verringert. Damit sollte sich dieser Wert indirekt eigentlich in der Bewertung wieder finden.

Mein Muster im Anhang enthält noch zwei Felder „Vertraulichkeit / Integrität“ und „Verfügbarkeit“. Das geht sogar schon in Richtung ISO 27001, aber hilft auch das Risikoszenario zu klassifizieren. Ist aber im ersten Schritt eher „nice to have“.

Wichtiger ist mir zu erwähnen, dass Sie bei einem Verfügbarkeitsrisiko in der Szenariobeschreibung angeben, wie lange der Ausfall dauert, den sie bewerten. Von der Ausfalldauer hängt stark der größtmögliche Schaden ab. Es kann sogar sein, dass Sie ein Ausfallszenario mit unterschiedlichen Ausfallzeiten öfter betrachten müssen.

Risikoergebnis

Endlich haben wir alle Daten zusammen. Da wir vorher sauber gearbeitet haben und unsere Vorarbeiten gut gemacht haben, ermittelt sich das Risiko nun anhand der Risikomatrix quasi automatisch. Entsprechend der Schadensklasse und der gewählten Eintrittswahrscheinlichkeit ergibt sich ein Wert für das Risiko.

Risiko-Ergebnis einer Datenschutzfolgeabschätzung durch die Bewertung des Schadens und der Eintrittswahrscheinlichkeit. Verhaltensregeln gibt es nicht und sind daher nicht zutreffend.
Risiko-Ergebnis einer Datenschutz-Folgenabschätzung durch die Bewertung des Schadens und der Eintrittswahrscheinlichkeit. Verhaltensregeln gibt es nicht und sind daher nicht zutreffend.

In unserem Beispiel aus dem Bild ergibt sich durch einen substantiellen potentiellen Schaden und einer hohen Eintrittswahrscheinlichkeit ein „rotes“ Risiko, das wir als hoch definiert haben.

Risikobehandlung in der Datenschutz-Folgenabschätzung

Das heißt, wir müssen also eine Risikobehandlung für dieses Szenario durchführen. Noch mal kurz zur Wiederholung: Wie kann eine Risikobehandlung aussehen (im Detail siehe Blogbeitrag Risikoanalyse).

  • Minimieren: Indem entweder der potentielle Schaden oder die Eintrittswahrscheinlichkeit durch Zusatzmaßnahmen herabgesetzt werden
  • Eliminieren: Das Eintreten des Szenarios komplett vermeiden.
  • Übertragen: Das Risiko auf jemand anderen übertragen (z.B. Versicherungen). Ob das in der Verarbeitung personenbezogener Daten allerdings Sinn macht, wage ich zu bezweifeln. Aber der Vollständigkeit halber, erwähne ich diese Option der Risikobehandlung an dieser Stelle.
  • Akzeptieren: Dem Verantwortlichen steht es natürlich auch frei, das Risiko erst mal zu akzeptieren und regelmäßig zu überwachen, wenn gute Gründe vorliegen. Aber wie bei der Übertragung sehe ich hier große Bedenken, ein Risiko zu akzeptieren, dessen „Leidtragender“ der Betroffene ist. Der Verantwortliche kann in diesem Sinne eigentlich nicht wirklich das Risiko im Namen der Betroffenen akzeptieren. Aber auch diesen Punkt möchte ich aus Gründen der Vollständigkeit erwähnen.
  • Die 5. Variante „Ignorieren“, die mir ein Student in der Vorlesung vorgeschlagen hat, erwähne ich zwar mal, „ignoriere“ sie aber 🙂

Gehen wir zurück zu obigem Beispiel im Krankenhaus. Das Ergebnis war ein hohes Risiko (substantieller Schaden, hohe Eintrittswahrscheinlichkeit).

Nun ist es an der Zeit, sich mit zusätzlichen Schutzmaßnahmen zu befassen. Als zusätzliche Schutzmaßnahme könnte vielleicht ein Notstromaggregat sinnvoll sein. Eine Maßnahme, die man sich nicht so „nebenbei“ leistet. Es geht um Kosten, es geht um personelle Ressourcen und vor allem um die Verringerung des Risikos.

Aus diesem Grund muss erneut bewertet werden, ob die geplante Maßnahme überhaupt das Risiko mindert. Es kann sein, dass sich dadurch der Schaden oder die Eintrittswahrscheinlichkeit ändert. Beides ist möglich. Soweit möglich, empfehle ich Ihnen, sich über Maßnahmen Gedanken zu machen, BEVOR Sie das Ergebnis der Datenschutz-Folgenabschätzung mit der Leitung besprechen.

Freigabe der Datenschutz-Folgenabschätzung

Verantwortlich für die Verarbeitung personenbezogener Daten ist immer die Leitung. Aus diesem Grund ist es unumgänglich, dass Sie die Ergebnisse mit der Geschäftsleitung besprechen. Da Sie sich vorab auch schon über mögliche zusätzliche Schutzmaßnahmen Gedanken gemacht haben, können Sie diese bei der Gelegenheit auch gleich mit ansprechen. Holen Sie die Freigabe ein oder klären Sie wenigstens weitere Schritte ab. Damit haben Sie konkrete Handlungsvorgaben. Vergessen Sie nicht, die Ergebnisse mit der Geschäftsleitung zu dokumentieren. Das können Sie auch im Excel Muster der DSFA ergänzen. So haben Sie alle wesentlichen Informationen an einer Stelle.

Umsetzen der Risikobehandlungsvorschläge

Sie haben nun geklärt, wie es weitergehen soll. Setzen Sie die Maßnahmen um. Vergessen Sie nicht zu prüfen, ob die Maßnahmen auch entsprechend wirksam sind, wie Sie es erwarten. Testen Sie also die Maßnahmen und dokumentieren Sie Ihre Ergebnisse.

Bericht Datenschutz-Folgenabschätzung

Man liest häufiger von einer Berichtsform der Datenschutz-Folgenabschätzung. Ohne lange zu überlegen greift man nach Erledigung der ganzen Punkte zum Textprogramm und schreibt alles noch mal zusammen – nur eben in anderer Form.

Ich finde das komplett überzogen und reine Zeit- und Ressourcenverschwendung. Nirgends steht geschrieben, in welcher Form dieser Bericht vorliegen muss. Die Dokumentation, die wir nun erstellt haben, ist systematisch, durchgängig und vollständig. Das einzige, was aus meiner Sicht bei dieser Vorgehensweise passiert, sind Fehler. Sie schreiben Inhalte doppelt, haben Redundanzen und müssen bei jeder Änderungen im Ursprung, auch den Text-Bericht anpassen. Es passiert schneller als Sie denken, dass Sie etwas übersehen.

Wo ich bei Ihnen bin, ist es, die Ergebnisse für’s Management aufzubereiten. Das entspricht aber nicht einem Bericht in Text–Form, sondern einer kompakten Darstellung auf einer oder zwei Seiten für die GF. Hier sind wir dann aber meistens in einer Präsentationsform. Das ist in meinem Verständnis nicht gleichbedeutend mit einem Bericht für die Datenschutz-Folgenabschätzung. Sondern eher ein kompaktes Management-Summary.

Zusammenfassend: Arbeiten Sie im Verfahrensverzeichnis und der DSFA ausführlich und sauber und sparen Sie sich redundante Tipparbeit für einen textuellen Bericht.

Meldung an die Behörde bei einer Datenschutz-Folgenabschätzung

Muss jede Datenschutz-Folgenabschätzung an die Behörde weiter geleitet werden? Nein! Sie müssen nur mit der Behörde in Kontakt treten, wenn Sie in der DSFA hohe Risiken ermitteln und diese nicht durch geeignete Maßnahmen minimieren oder eliminieren können.

Gute Nachrichten, oder? Ich bin mir sicher, dass Sie in den meisten Fällen hohe Risiken durch geeignete Maßnahmen reduzieren können. Hier zahlt es sich nun wieder aus, dass Sie die DSFA nicht im Alleingang durchgeführt haben, sondern von Vornherein ein Team mit einbezogen haben.

Ist die Datenschutz-Folgenabschätzung eine einmalige Sache?

Wie jede Risikoanalyse ist auch die Datenschutz-Folgenabschätzung ein sich wiederholender Prozess.

Beginnen wir von Vorne. Im Datenschutzmanagement haben Sie grundsätzlich die Aufgabe, Ihre Verfahren regelmäßig zu überprüfen. Stimmen die beschriebenen Verfahren noch? Werden noch dieselben Anwendungen verwenden und dieselben Ressourcen benötigt? Diese Fragen müssen Sie sich regelmäßig stellen.

Sie wissen, worauf das nun hinaus läuft. Ihr Verfahren, das bisher einer DSFA bedurfte, muss nun auch wieder einer Prüfung unterzogen werden. Haben sich die Rahmenbedingungen verändert? Existieren die Risiken nach wie vor? Aufgrund Veränderungen in den Abläufen oder in der verwendeten Technik kann dies dazu führen, dass sich auch die Risiken in der Datenschutz-Folgenabschätzung ändern.

Aus diesem Grund empfehle ich Ihnen dringend, die DSFA regelmäßig zu überprüfen. Sie bemerken sicherlich, dass ich kein festes Datum nenne. Muss die Überprüfung jährlich, vierteljährlich oder alle fünf Jahre statt finden? Hier gibt es keine konkreten Vorgaben.

Ich würde mit einer jährlichen Überprüfung der Risiken beginnen. Je nachdem, wie agil ihr Verfahren ist, können Sie den Zyklus entweder verkürzen oder mit einer ganz guten Begründung auch verlängern.

Ausschluss aus der Datenschutz-Folgenabschätzung

Interessanterweise gibt es sogar einen Ausschluss aus der DSFA. In der DSGVO ist definiert, dass für Ärzte und Rechtsanwälte eine DSFA nicht zwingend nötig ist.

Ein Auszug aus dem Erwägungsgrund 91 gibt folgendes wider:

„… Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. 5In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.“

Die Einschränkung ist aber genau zu lesen. Wie immer liegt auch hier der Teufel oder in diesem Fall die DSFA im Detail. Aber wie immer bieten wir Ihnen sehr gerne unsere Unterstützung an. Mein Team und ich freuen uns, Sie bei der DSFA oder allgemein in Sachen Datenschutz und Informationssicherheit unterstützen zu dürfen.

Zum Abschluss: Ihre Erfahrungen

Sie wissen es sicher schon. Nun möchte ich von Ihnen wissen, wie es Ihnen ergangen ist bei der Durchführung einer Datenschutz-Folgenabschätzung. Was waren die größten Hürden, die Sie bisher davon abgehalten haben, eine DSFA zu machen?
War diese Beschreibung für Sie hilfreich? Erzählen Sie uns in den Kommentaren.

Muster Datenschutz-Folgenabschätzung in Excel

Wie versprochen erhalten Sie mit diesem Beitrag ein kostenloses Muster in Excel für eine Datenschutz-Folgenabschätzung. Zudem erhalten sie die Schwellwertanalyse ebenfalls als Excel Datei, um die DSFA Relevanz zu ermitteln.

Hier können Sie die Vorlagen herunterladen:

Weitere Datenschutz-Vorlagen und Muster

Ausführlichere Vorlagen und Muster, sowie detaillierte Anleitungen und viel mehr Inhalte erhalten Sie in unserem Mentoring-Programm. Schützen Sie mit unserer Hilfe die Daten Ihrer Kunden, Mitarbeiter und Geschäftspartner. Seien Sie dabei im DSB Mentoring-Programm. Hier erfahren Sie mehr darüber.

FAQ zur DSFA

Was ist eine Datenschutz-Folgenabschätzung?

Eine DSFA ist ein Instrument, welches über das Verfahrensverzeichnis hinaus geht. Es dient zur Beschreibung und Bewertung von Risiken für die Rechte und Freiheiten natürlicher Personen.
In der Datenschutz-Folgenabschätzung sind auch die Abhilfemaßnahmen zu berücksichtigen, um Risiken zu minimieren.

Wann ist eine DSFA durchzuführen?

  • Wenn Ihr Verfahren ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
  • Insbesondere beim Einsatz neuer Technologien die, voraussichtlich ein hohes Risiko für den Betroffenen zur Folge haben kann.
  • Die DSFA ist vor Beginn der Verarbeitungstätigkeit durchzuführen.
  • Die Landesämter haben Blacklisten veröffentlicht. Hier handelt es sich um Vorschläge, die allerdings noch mal gesondert zu prüfen sind. Nicht zwingend muss für die dort genannten Verfahren eine DSFA durchgeführt werden.
  • Entscheidend ist, ob ein hohes Risiko für den betroffenen resultiert.
  • Wir schlagen daher eine zwei-stufige Bewertung vor:
    1. Kurze Analyse direkt beim Verfahren
    2. Falls hoher Schaden potentiell möglich, dann weitere Risikoprüfung

Wie ist die Vorgehensweise bei der Durchführung der DSFA?

Der Vorgang ist nicht einmalig zu sehen. Eine DSFA muss regelmäßig durchgeführt werden. Es kann durchaus sein, dass sich über die Zeit, einzelne Parameter verändern.
Grundsätzlich gliedert sich der Ablauf einer Datenschutz-Folgenabschätzung in vier Schritte:

  1. Vorbereitung (Verfahren beschreiben, DSFA Team zusammen stellen)
  2. Durchführung (Erfassung und Bewertung der Risiken)
  3. Umsetzung (Beschlossene Maßnahmen umsetzen)
  4. Überprüfung (regelmäßige, z.B. jährliche Überprüfung der DSFA)

Kann die DSFA im Rahmen des Risikomanagements durchgeführt werden?

Wir empfehlen Ihnen, sie DSFA nicht als separates Tool zu sehen. Integrieren Sie die Datenschutz-Folgenabschätzung in ein bestehendes Risikomanagement. Achten Sie allerdings darauf, die speziellen Anforderungen der DSFA zu berücksichtigen.

Schadenskritierien und Eintrittswahrscheinlichkeiten sollten Sie global für das Unternehmen definieren. Hier sollten Sie keine unterschiedlichen Werte für die DSFA und das restliche Risikomanagement haben. Ein „hoher“ Schaden sollte in allen Fällen ein gleiches Verständnis im Unternehmen nach sich ziehen.

Quellen

LDA Bayern – Planspiel DSFA

Diesen Beitrag teilen

Wie hilfreich war der Artikel?
Danke!
Regina Stoiber

Seit über 10 Jahren bin ich nun im Bereich Informationssicherheit und Datenschutz tätig. Mit Begeisterung für das Thema bin ich seit einigen Jahren nun selbständig. Ich unterstütze Sie, beim Schützen Ihrer Daten. Praxisorientiert, strukturiert und persönlich.

3 Comments on “Datenschutz-Folgenabschätzung (DSFA) mit Muster nach Art. 35 DSGVO

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.