DSFA – Datenschutz Folgenabschätzung

Die Datenschutz Grundverordnung (vgl: DSGVO) sieht eine Datenschutz Folgenabschätzung (vgl.: DSFA) vor. Diese DSFA ist vor der Aufnahme einer Verarbeitung durchzuführen. Die Grundlagen wann eine solche DSFA zwingend erforderlich ist, liefern die DSGVO (Art. 35, und Erwägungsgründe 75, 84, 89-93), wie auch zwei Verordnungen der österreichischen Datenschutzbehörde. Einerseits die Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz Folgenabschätzung durchzuführen ist – diese wird auch bezeichnet als DSFA-V, oder auch Blacklist. Andererseits eine Verordnung die, die dazu zulässigen Ausnahmen bezeichnet – diese wird als DSFA-AV, oder auch Whitelist, bezeichnet.

Eine DSFA zielt ab auf drei Arten von Verarbeitungen:

  • Verarbeitungen, die einem „hohen Risiko“ unterliegen. Welche Verarbeitungen damit konkret gemeint sind ist aus der DSFA-V ersichtlich.
  • Verarbeitungen, die unter die Kategorie automatisierte Einzelfallentscheidung fallen, besser bekannt unter den Bezeichnungen, wie Scoring und Profiling. Darunter fällt auch die Videoüberwachung, vor allem wenn davon der öffentliche Raum betroffen ist.
  • Verarbeitungen, die besonders schutzwürdige Daten beinhalten. Welche Daten damit konkret gemeint sind ist aus dem Artikel 9 DSGVO ersichtlich.

Im Rahmen einer DSFA sind folgende qualitative Ziele zu erfüllen,

  • Darstellung des Zwecks der Verarbeitung, insbesondere Darlegung des berechtigten Interesses, Notwendigkeit der Verarbeitung an sich, wie auch die Verhältnismäßigkeit und durch die Verarbeitung bedingten Risiken für den Betroffenen.
  • Darstellung der technischen und organisatorischen Maßnahmen (vgl.: TOMs) zur Gewährleistung eines annehmbaren Sicherheitsniveaus der Verarbeitung. Sowie deren Einsatz und Wirkungskontrolle, um vor allem im Anlassfall den entsprechenden Nachweis führen zu können.
  • Normen und Rahmenwerke (vgl.: Frameworks – COBIT, ITIL, etc.), die auf die Verarbeitung ausstrahlen, wie auch Audits, wenn möglich auch die Akkreditierung des Auditverfahrens.
  • Namhaft machen der Betroffenen der Verarbeitung und Darstellung derer Interessenslagen.

Der Datenschutzbeauftragte begleitet dieses Verfahren aber führt keine abschliessende Beurteilung durch. Dies ist alleine im Zuständigkeitsbereich des Verantwortlichen der Verarbeitung, der anhand der aufbereiteten Informationen in der Form der DSFA zu prüfen hat.

DSFA – EPK

Die Grafik stellt den  schematischen Ablauf einer DSFA in Form einer ereignisgesteuerten Prozesskette (vgl.: EPK) dar. In einem ersten Schritt wird in einem immer feiner werdenden Betrachtung der eigentliche Bewertungsraum festgelegt. Nur Verarbeitungen, die eine Relevanzschwelle, wie sie vor allem von der DSGVO definiert ist, überschreiten kommen erst überhaupt zur eigentlichen Prüfung. Der graue hinterlegte Bereich ist der Prüfungsabschnitt, der auf die operative Umsetzung des Verfahrens abstellt. Nach jedem Projektfortschritt ist eine Feedbackschleife zur Qualitätssicherung vorgesehen. Nach jedem Schritt wird überprüft, ob die Gewährleistungsziele in ausgewogener Form erfüllt werden.

Risiken aus dem Datenschutz sind in sieben Felder einteilbar. Missachtung von Vorschriften, Unwissenheit, Offenlegung von Informationen, Erkennbarkeit, Zuordenbarkeit, Identifizierbarkeit und Nicht-Abstreitbarkeit. Die Anzahl der Risiko-Objekt-Klassen entspricht derselben, wie der Anzahl der Gewährleistungsziele aus dem Standard Datenschutz Modell (vgl.: SDM). Eine Beschreibung der Risiko-Objekt-Klassen findet sich im Erwägungsgrund (vgl.: EG) 75 der Verordnung.

Die Risikobewertung anhand der vereinfachten „Risiko-Formel“, Risiko = Eintrittswahrscheinlichkeit x Schwere des Schadens, greift leider zu wenig weit. Der Schaden an sich ist nämlich durch die Verarbeitung bereits eingetreten. Zur Klassifizierung kann die Eintrittswahrscheinlichkeit einer Datenschutzverletzung nach den Risiko-Objekt-Klassen herangezogen werden. Die Auswirkung der Datenschutzverletzung in ihrer Intensität gegenüber dem Betroffenen ist ebenfalls darstellbar. Hinzukommt aber auch noch die Möglichkeit der Kombination von Risiko-Objekt-Klassen auf der selben Stufe. Bei der Risiko Modellierung anhand von sogenannten Angriffsbäumen lassen sich somit Risikogruppen vertikal aggregieren, wie zum Beispiel alle Drucker. Vom Netzwerkdrucker bis zum Cloud Druck Dienst können zusammgefasst werden. Der Vorteil liegt darin, dass eine Schwergewichtsbildung möglich wird und eine Entscheidungsgrundlage vor allem bei beschränkten Ressourcen darstellt. Das Ergebnis ist in der Regel eine Entscheidungsmatrix von Eintrittswahrscheinlichkeit zu Auswirkung(en) für den Betroffenen.

Der Ablauf der eigentlichen Risikobeschreibung ist wie folgt strukturiert.

  • Titel & Beschreibung Risiko
  • Eintrittswahrscheinlichkeit inklusive Begründung
  • Auswirkungen inklusive Begründung
  • Risikowert (anhand der der vorher festgelegten Bewertungsintervalle – analog zu Schulnoten…)

Es folgt eine Beschreibung der Abhilfemaßnahmen, die Art Art wie mit dem Risiko an sich umgegangen wird.

  • Art des Risikos
    Klassisch sind das die Bereiche, Strategie, Markt, Finanz, Recht und Leistung.
  • Typ der Risikobehandlung
    Klassisch sind das die Möglichkeiten, vermeiden, vermindern, begrenzen, transferieren oder selbst tragen von Risiken.
  • Begründung der Auswahl der Risikobehandlung
  • Dokumentation der Maßnahmen

Wie schon weiter oben beschrieben, werden Änderungen und Anpassungen im Rahmen der Qualitätssicherung beschrieben und hier auch erfasst.

  • Eintrittswahrscheinlichkeit unter Berücksichtigung der getroffenen Maßnahmen
  • Auswirkungen (nach Anpassung)
  • Risikowert (nach Anpassung)
  • Entscheidung, ob Konsultation der Aufsichtsbehörde notwendig ist
Share on:

Schreibe einen Kommentar