Was ist eine Datenschutz-folgeabschätzung?

Datenschutzfolgeabschätzung klingt nach Beamtendeutsch und ist ein kleiner Zungenbrecher.

Daher wird in diesem Artikel meistens die gängige Abkürzung DSFA benutzt.

Bekannt ist dieses Wort sicherlich vor allem eingeweihten Personen im Datenschutz und Unternehmensmanagement.

Doch eigentlich sollte der Begriff allen Beschäftigten etwas bedeuten, da es um die Verarbeitung und Weitergabe von persönlich identifizierbaren Informationen geht. Das können Gesundheitsinformationen sein, Daten zur Kreditwürdigkeit, Bankdaten, Hautfarbe, IP Adressen oder Vorlieben beim Online-Shoppen.

Dieser Artikel soll Licht auf das sperrige Wort und den dahinterstehenden Vorgang werfen.

Dazu gibt es Beispiele einer Datenschutzfolgeabschätzung. Zuerst soll geklärt werden, was eine DSFA ist und wann sie durchgeführt werden muss.

Datenschutzfolgeabschätzung: Definition

Damit wird die Pflicht einer Risikoanalyse bezeichnet, die eine potenzielle Gefährdung der Rechte natürlicher Personen bei der geplanten Verarbeitung ihrer Daten bewertet und dokumentiert.

Die DSFA soll klären, ob das Unternehmen, die Organisation oder Behörde eine datenrechtlich einwandfreie Behandlung von persönlichen Informationen entlang der gesamten Verarbeitungskette sicherstellen kann.

Werden Risiken in der Analyse identifiziert, muss der Abschlussbericht außerdem Maßnahmen aufzählen, wie diese Risiken in jedem Einzelfall minimiert bzw. eliminiert werden können.

Gesetzlich geregelt wird die Datenschutzfolgeabschätzung im Artikel 35 der EU-Datenschutz-Grundverordnung (DSGVO) von 2018.

“Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.”

Ein konkretes Beispiel für eine Gefährdung ist folgendes Szenario:

1. Die DSFA stuft eine fehlende professionelle Passwortverwaltung als Risiko für die persönlichen Daten ein.
2. Ohne hinreichende Passwortsicherheit sind die zu schützenden Informationen weitaus anfälliger für Cyberattacken und Datenklau.
3. Als Maßnahme zur Minimierung dieses Risikos schlägt der DSFA-Bericht die Implementierung von wirkungsvollen Passwortrichtlinien vor.

Damit wäre das Risiko, dass Unbefugte durch schwache Kennwörter Zugang zu sensiblen Daten und Informationen bekommen, hinreichend minimiert.

Wann muss eine Datenschutzfolgeabschätzung durchgeführt werden?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hält eine DSFA für erforderlich, “wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.”

Laut Artikel 35, Absatz 3 der EU-Datenschutz-Grundverordnung (DSGVO) ist eine DSFA in folgenden Fällen vorgeschrieben.

a. Bei allen Verarbeitungsprozessen, die sich auf ein Bewertungssystem, Scoring oder Profiling begründen. Ein Beispiel sind Dating-Portale, die aus den persönlichen Daten der Teilnehmer Profile für den Matching-Algorythmus bilden.

b. Bei “umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten”. Das betrifft z.B. große Anwaltskanzleien für Familienrecht oder Mobilitätsdienste wie Car-Sharing.

c. Bei  “systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche”.

Gemeint ist hiermit vor allem die Videoüberwachung.

Die Rolle der Negativliste erklärt

Nun lassen die obigen Formulierungen genügend Interpretationsspielraum zu.

Daher bestimmt der Artikel 35 DSGVO außerdem, dass die zuständigen öffentlichen und nicht-öffentlichen Aufsichtsbehörden jeweils Listen mit Verarbeitungstätigkeiten zusammenstellen, die zu einer DSFA verpflichten.

In der sogenannten Negativliste (auch Black List) sind die genauen Prozesse beschrieben, für die eine DSFA zwingend erstellt werden muss.

Hier sind einige Beispiel aus der Negativliste.

• “Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen” (etwa Fingerabdrucksensoren für Zugangsberechtigungen).
• “Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Verarbeitung der so zusammengeführten Daten”.
• Darunter fallen all Scoring und Profiling-Tätigkeiten von Banken, Versicherungen, Auskunfts- und Onlinediensten.
• “Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen”.

Die Negativliste enthält 17 Beschreibungen mit Einsatzgebieten und Beispielen. Beachtet werden sollte, dass jedes Bundesland eine eigene Liste erstellt. Die DSFA muss alle drei Jahre wiederholt werden.

Datenschutzfolgeabschätzung: Muster & Beispiele

Wie eine DSFA aufgebaut ist und was sie beinhaltet, kann man am Beispiel der Corona-Warn-App sehen.

Auf 225 Seiten werden die folgenden Schritte beschrieben:

1. Zuerst werden alle geplanten Vorgänge und die dazugehörigen Verarbeitungszwecke systematische beschrieben.
2. Dann soll geklärt werden, ob die zu erhebenden Daten auch notwendig und verhältnismäßig sind, um den gegebenen Zweck zu erfüllen.
3. Im dritten Schritt sollen die möglichen Risiken für die Rechte und Freiheiten betroffener Personen eingeschätzt werden.
4. Im abschließenden Bericht werden die geplanten Abhilfemaßnahmen aufgezählt, um die Risiken zu minimieren bzw. zu beseitigen.

Ein konkretes Detailbeispiel ist das Szenario aus dem ersten Kapitel mit dem fehlenden Passwort-Manager im Unternehmen. Angenommen, es ist aufgrund dessen im Unternehmen zu einer Datenpanne gekommen. Dabei haben Unbefugte sensible, persönliche Daten erbeutet.

Welche Schritte müssen im Fall eines Datenlecks ergriffen werden?

Zuerst müssen das Ausmaß und die Quelle der Datenpanne identifiziert werden (mehr zum Thema gibt es in diesem Artikel).

Aufgrund unzureichend strenger Passwortrichtlinien konnten Mitarbeiter schwache und bereits kompromittierte Passwörter benutzen. Das können die Angreifer ausnutzen, um so an vertrauliche Daten zu gelangen.

Der nächste Schritt ist die implementierung eines sichereren und leistungsstarken Passwort-Filters. Damit wäre der Datenklau wahrscheinlich nicht erfolgreich gewesen, weil alle Kennwörter strengen, fortwährend aktualisierten Richtlinien unterworfen sind. Zudem gleicht die interne Datenbank alle Zugangsdaten mit bereits veröffentlichten Passwörtern ab, um solche, die bekannt oder kompromittiert sind, sofort zu sperren bzw. gar nicht erst zuzulassen.

Was sind die Folgen eines Datenlecks?

Eine DSFA soll Folgen wie Datenmissbrauch, persönliche Schäden, wirtschaftliche und finanzielle Einbußen verhindern.

Die Kosten und der Imageschaden eines Datenlecks sind unvorhersehbar für die Mitarbeiter, das Unternehmen, die Organisation oder Behörde.

Bei den betrieblichen Verantwortlichen, wie Geschäftsführer oder IT-Manager (auch CIO – Chief Information Officer) kommt außerdem das Haftungsrisiko dazu.

Nach Artikel 32 (Sicherheit der Verarbeitung) der DSGVO, sind die Verantwortlichen “zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung” verpflichtet.

Sollten ihnen Verstöße gegen das Datenrecht (darunter fällt auch die DSFA) nachgewiesen werden, kann das mit empfindlichen Bußgeldern geahndet werden.

Auch die Unternehmen werden in die Pflicht genommen. Bei fehlender oder unzureichender DSFA müssen sie mit hohen Strafzahlungen von maximal zehn Millionen Euro oder 4 % des Vorjahresumsatzes rechnen.

Fazit: Datenschutzfolgeabschätzung

Im Zweifel sollten Unternehmen immer eine korrekte DSFA durchführen. Es ist wie ein Frühwarnsystem, um datenrechtliche Mängel zu erkennen, zu bewerten und zu minimieren.

Jeder hat das Recht auf Privatsphäre und die Hoheit über die eigenen persönlichen Daten. Die DSFA ist dazu konzipiert, diese Rechte durchzusetzen und die Sicherheit der Daten zu gewährleisten. Laut Artikel 32 (Sicherheit der Verarbeitung) der DSGVO, sind die Verantwortlichen “zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung” verpflichtet.

Noch nie war es einfacher, diese und weitere regulatorischen Passwortempfehlungen von Sicherheitsorganisationen wie z. Bsp. BSI, NIST, SANS und NCSC umzusetzen. Mit Vorlagen, die Ihren Compliance-Anforderungen entsprechen, und einem Berichtstool, das sicherstellt, dass Sie die jeweiligen Standards einhalten oder diese sogar übertreffen. Jetzt Specops Password Policy kostenlos testen!