Datenschutz Folgenabschätzung
Allgemein
Die Datenschutz Grundverordnung (vgl: DSGVO) sieht eine Datenschutz Folgenabschätzung (vgl.: DSFA) vor. Diese DSFA ist vor der Aufnahme einer Verarbeitung durchzuführen. Die Grundlagen wann eine solche DSFA zwingend erforderlich ist, liefern die DSGVO (Art. 35, und Erwägungsgründe 75, 84, 89-93), wie auch zwei Verordnungen der österreichischen Datenschutzbehörde. Einerseits die Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz Folgenabschätzung durchzuführen ist – diese wird auch bezeichnet als DSFA-V, oder auch Blacklist. Andererseits eine Verordnung die, die dazu zulässigen Ausnahmen bezeichnet – diese wird als DSFA-AV, oder auch Whitelist, bezeichnet.
DSFA – Bewertungsbereich
Eine DSFA zielt ab auf drei Arten von Verarbeitungen:
- Verarbeitungen, die einem „hohen Risiko“ unterliegen. Welche Verarbeitungen damit konkret gemeint sind ist aus der DSFA-V ersichtlich.
- Verarbeitungen, die unter die Kategorie automatisierte Einzelfallentscheidung fallen, besser bekannt unter den Bezeichnungen, wie Scoring und Profiling. Darunter fällt auch die Videoüberwachung, vor allem wenn davon der öffentliche Raum betroffen ist.
- Verarbeitungen, die besonders schutzwürdige Daten beinhalten. Welche Daten damit konkret gemeint sind ist aus dem Artikel 9 DSGVO ersichtlich.
DSFA – Zielvorgaben
Im Rahmen einer DSFA sind folgende qualitative Ziele zu erfüllen,
- Darstellung des Zwecks der Verarbeitung, insbesondere Darlegung des berechtigten Interesses, Notwendigkeit der Verarbeitung an sich, wie auch die Verhältnismäßigkeit und durch die Verarbeitung bedingten Risiken für den Betroffenen.
- Darstellung der technischen und organisatorischen Maßnahmen (vgl.: TOMs) zur Gewährleistung eines annehmbaren Sicherheitsniveaus der Verarbeitung. Sowie deren Einsatz und Wirkungskontrolle, um vor allem im Anlassfall den entsprechenden Nachweis führen zu können.
- Normen und Rahmenwerke (vgl.: Frameworks – COBIT, ITIL, etc.), die auf die Verarbeitung ausstrahlen, wie auch Audits, wenn möglich auch die Akkreditierung des Auditverfahrens.
- Namhaft machen der Betroffenen der Verarbeitung und Darstellung derer Interessenslagen.
DSFA – Ablauf allgemein
Der Datenschutzbeauftragte begleitet dieses Verfahren aber führt keine abschliessende Beurteilung durch. Dies ist alleine im Zuständigkeitsbereich des Verantwortlichen der Verarbeitung, der anhand der aufbereiteten Informationen in der Form der DSFA zu prüfen hat.
Die Grafik stellt den schematischen Ablauf einer DSFA in Form einer ereignisgesteuerten Prozesskette (vgl.: EPK) dar. In einem ersten Schritt wird in einer immer feiner werdenden Betrachtung der eigentliche Bewertungsraum festgelegt. Nur Verarbeitungen, die eine Relevanzschwelle, wie sie von der DSGVO und abhängigen Rechtsnormen definiert sind, überschreiten, kommen erst überhaupt zur eigentlichen Prüfung. Der graue hinterlegte Bereich ist der Prüfungsabschnitt, der auf die operative Umsetzung des Verfahrens abstellt. Nach jedem Projektfortschritt ist eine Feedbackschleife zur Qualitätssicherung vorgesehen. Nach jedem Schritt wird überprüft, ob die Gewährleistungsziele in ausgewogener Form erfüllt werden.
DSFA – Risikobewertung allgemein
Risiken aus dem Datenschutz sind in sieben Felder einteilbar. Missachtung von Vorschriften, Unwissenheit, Offenlegung von Informationen, Erkennbarkeit, Zuordenbarkeit, Identifizierbarkeit und Nicht-Abstreitbarkeit. Die Anzahl der Risiko-Objekt-Klassen entspricht derselben, wie der Anzahl der Gewährleistungsziele aus dem Standard Datenschutz Modell (vgl.: SDM). Eine Beschreibung der Risiko-Objekt-Klassen findet sich im Erwägungsgrund (vgl.: EG) 75 der Verordnung.
Die Risikobewertung anhand der generellen „Risiko-Formel“, Risiko = Eintrittswahrscheinlichkeit x Schwere des Schadens, greift leider zu wenig weit. Der Schaden an sich ist nämlich durch die Verarbeitung bereits eingetreten. Zur Klassifizierung kann die Eintrittswahrscheinlichkeit einer Datenschutzverletzung nach den Risiko-Objekt-Klassen herangezogen werden. Die Auswirkung der Datenschutzverletzung in ihrer Intensität gegenüber dem Betroffenen ist ebenfalls darstellbar. Hinzukommt aber auch noch die Möglichkeit der Kombination von Risiko-Objekt-Klassen auf der selben Stufe. Bei der Risiko Modellierung anhand von sogenannten Angriffsbäumen lassen sich somit Risikogruppen horizontal und vertikal aggregieren, wie zum Beispiel alle Arten von Druckern. Vom Netzwerkdrucker bis zum Cloud Druck Dienst können zusammgefasst werden. Der Vorteil liegt darin, dass eine Schwergewichtsbildung nach verschiedenen Kriterien möglich wird und eine Entscheidungsgrundlage vor allem bei beschränkten Ressourcen darstellbar wird. Je nach Perspektive kann die funktionale Zusammenfassung, Aggregation, erfolgen. Das Ergebnis ist in der Regel eine Entscheidungsmatrix von Eintrittswahrscheinlichkeit zu Auswirkung(en) für den Betroffenen.
DSFA – Ablauf allgemein
Der Ablauf der eigentlichen Risikobeschreibung ist wie folgt strukturiert.
- Titel & Beschreibung Risiko
- Eintrittswahrscheinlichkeit inklusive Begründung
- Auswirkungen inklusive Begründung
- Risikowert (anhand der der vorher festgelegten Bewertungsintervalle/ -schemas – analog zB zu Schulnoten…)
Es folgt eine Beschreibung der Abhilfemaßnahmen, die Art Art wie mit dem Risiko an sich umgegangen wird.
- Art des Risikos
Klassisch sind das die Bereiche, Strategie, Markt, Finanz, Recht und Leistung. - Typ der Risikobehandlung
Klassisch sind das die Möglichkeiten, vermeiden, vermindern, begrenzen, transferieren oder selbst tragen von Risiken. - Begründung der Auswahl der Risikobehandlung
- Dokumentation der Maßnahmen
Wie schon weiter oben beschrieben, werden Änderungen und Anpassungen im Rahmen der Qualitätssicherung beschrieben und hier auch erfasst.
- Eintrittswahrscheinlichkeit unter Berücksichtigung der getroffenen Maßnahmen
- Auswirkungen (nach Anpassung)
- Risikowert (nach Anpassung)
- Entscheidung, ob Konsultation der Aufsichtsbehörde notwendig ist
Gerne begleiten wir sie bei der Erstellung einer Datenschutz Folgenabschätzung. Vor allem können wir etliches an Erfahrung einbringen und diese DSFA in kürzester Zeit umsetzen.