Wann eine Datenschutz-Folgenabschätzung (DSFA) nötig ist

Angesichts der zunehmenden Verarbeitung persönlicher Daten im Homeoffice, sollte das Risiko für Kundendaten im Auge behalten werden. Für sehr risikoreiche Verarbeitungen schreibt die DSGVO anhand der Datenschutz-Folgenabschätzung (DSFA) eine besondere Vorgehensweise zur Abschätzung der Folgen für die betroffenen Personen vor.

Inhaltsverzeichnis

Das Homeoffice ist laut SARS-CoV-2-Arbeitsschutzverordnung Pflicht. Das bedeutet nicht, dass jeder Arbeitgeber vorher eine Datenschutz-Folgenabschätzung durchführen muss. Doch der Arbeitgeber sollte bewusst sein, dass das Homeoffice das Risiko einer ohnehin kritischen Verarbeitung weiter erhöhen kann.

Insbesondere, wenn Beschäftigte im Homeoffice beispielsweise den privaten PC benutzen, kann die Eintrittswahrscheinlichkeit von Datendiebstahl und des Kompromittierens zunehmen, wodurch auch personenbezogene Daten gefährdet sind. Durch den reduzierten Kontroll- und Einflussbereich des Unternehmens auf die Mitarbeiter wächst zudem die Gefahr des Datenmissbrauchs.

Sie haben Fragen zum Thema Homeoffice?

Stellen Sie uns Ihre derzeit dringlichste Frage zum Betrieb von Homeoffice Arbeitsplätzen. 
Wir schenken Ihnen 15 Minuten unseres Praxiswissens aus über 20 Jahren.

Datenschutz-Folgenabschätzung bei besonders großen Risiken

In der sogenannten Datenschutz-Folgenabschätzung (DSFA) wird der vorgesehene Verarbeitungsvorgang und dessen mögliche Schadenswirkung betrachtet. Die Bewertung ist daher ein komplexer Vorgang, der eine genaue Beschreibung möglicher Risikoszenarien voraussetzt.

Unbedingt notwendig wird die Durchführung einer DSFA bei besonders großen Risiken für den Datenschutz. Die DSGVO nennt drei Beispielfälle, die eine Datenschutz-Folgenabschätzung erforderlich machen:

  • die systematische und umfassende Bewertung persönlicher Aspekte von Menschen (z. B. Profiling)
  • die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder Daten über strafrechtliche Verurteilungen und Straftaten
  • die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Weitere Kriterien, die eine Datenschutz-Folgenabschätzung nötig machen, sind zum Beispiel die Verarbeitung großer Datenmengen oder vertraulicher Daten und der Einsatz von neuer, innovativer Technologie. Wesentlich ist das dabei entstehende Risiko für betroffene Personen.

Die Verarbeitung von Kundendaten ist mit Risiken verbunden

Grundsätzlich enthält jede Verarbeitung von personenbezogenen Daten Risiken. Daher sind die in der DSGVO genannten Beispiele keine ausreichende Grundlage für eine Einordnung. Die Entscheidung, ob das Risiko einer Verarbeitung noch ohne Datenschutz-Folgenabschätzung tragbar ist, ist jedoch nicht einfach.

Auch durch die Form der Verarbeitung von Daten können erhöhte Risiken entstehen. Im Homeoffice beispielsweise unterscheidet sich die Art der Speicherung und Nutzung von Daten unter Umständen gegenüber der entsprechenden Verarbeitung in Unternehmensräumen. Die Nutzung eigener Geräte („privater PC“) und ein Zugriff auf die Datenbanken über unsichere Verbindungen („VPN“) könnten etwa die Risiken für die verarbeiteten Daten erhöhen.

Positivliste und Blacklist für Datenschutz-Folgenabschätzung

Allerdings ist die alleinige Einführung von Homeoffice-Tätigkeiten kein Kriterium, das die Durchführung einer Datenschutz-Folgenabschätzung verlangt. Das Standard-Datenschutzmodell (kurz: SDM) nennt Verarbeitungsbeispiele, von denen „mindestens“ zwei zutreffen sollten, um „in den meisten Fällen“ von einem hohen Risiko auszugehen.

In Anlehnung an §35 der DS-GVO haben Landesdatenschutzbehörden Muss-Listen („Blacklist“ bzw. „Positivliste“) veröffentlicht, die Verarbeitungsvorgänge und Branchen aufzählen, bei denen eine Datenschutz-Folgenabschätzung verpflichtend ist: Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (PDF).

Als typische Einsatzfelder nennt die Liste u.a.:

  • Bewertungsportale
  • Datingportale
  • soziale Netzwerke
  • Verzeichnisse von Inkassodienstleistungen und Privatinsolvenzen
  • Scoring durch Auskunfteien, Banken, Versicherungen
  • Fraud-Prevention-Systeme
  • Einsatz von Data-Loss-Prevention-Systemen, die systematisch Profile der Beschäftigten erzeugen, also zum Beispiel den Internetverlauf aufzeichnen oder die Aktivitäten am Arbeitsplatz
  • Big-Data-Analysen von Kundendaten, die mit Drittquellen angereichert sind
  • Erfassung des Kaufverhaltens, zum Beispiel durch Kundenkarten
  • Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten

Die Veröffentlichung von Whitelists („Negativliste“) wurde von den Aufsichtsbehörden verworfen, da es grundsätzlich sichere Verarbeitungsvorgänge praktisch nicht gibt. So kann die Art der Verarbeitung (z. B. Einsatz von neuen Technologien) das Risiko auch von an sich risikoarmen Vorgängen erhöhen. Die Einschätzung sollte sich daher immer konkret auf den Einzelfall beziehen.

Die Schwellwertanalyse beim Datenschutz

Durch eine grobe Evaluierung der erwartbaren Risiken wird die Notwendigkeit einer Datenschutz-Folgenabschätzung bewertet. Das Standard-Datenschutzmodell (SDM) nennt diese Vorab-Einschätzung „Schwellwertanalyse“.

Die Schwellwertanalyse liefert eine Antwort auf die Frage, ob die Schwelle der hochriskanten Verarbeitung erreicht wird. Die Antwort darauf ist jedoch umso schwieriger, da das Bundesdatenschutzgesetz in § 67 BDSG verlangt, die DSFA bereits vor der Aufnahme der vorgesehenen Verarbeitungen durchzuführen. Der Datenschutzbeauftragte und der Verantwortliche sollten diese Analyse gemeinsam durchführen.

Eine Vorab-Einschätzung wird für jeden Verarbeitungsvorgang gemacht, der die weiter oben genannten Kriterien für die Datenschutz-Folgenabschätzung enthält. Wie schon erwähnt, trägt jede Verarbeitung personenbezogener Daten Risiken in sich, daher ist es notwendig, alle Verarbeitungen zu prüfen und eine Risikobewertung vorzunehmen. Diese wird in der Regel beim Erstellen des Verzeichnisses von Verarbeitungstätigkeiten (früher „Verfahrensverzeichnis“) durchgeführt, das für Unternehmen laut DSGVO verpflichtend ist.

Die Risikobewertung der Verarbeitungsvorgänge ist die Grundlage für alle Datenschutzaktivitäten. Unternehmen, die die DSGVO umgesetzt haben, können auf Grundlage ihres Verarbeitungsverzeichnisses abschätzen, welche Verarbeitungen ein besonderes Augenmerk verlangen. Für diese Tätigkeiten wird dann eine Vorab-Einschätzung vorgenommen, ob die Notwendigkeit einer Folgenabschätzung besteht.

Da jede Verarbeitung personenbezogener Daten von Unternehmen, privaten oder öffentlichen Institutionen mit Risiken für die betroffenen Personen verbunden ist, wurde die Datenschutz-Grundverordnung der EU ausgearbeitet. In der Beschreibung der Erwägungsgründe zur Ausarbeitung der DSGVO wird die Risikoanalyse als objektive Bewertung beschrieben, bei der „festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko“ für die Rechte und Freiheiten der betroffenen Person enthält (Erwägungsgrund 76).

Laut Erwägungsgrund 76 DSGVO sollten die „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person (sollten) in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“

Risikobewertung für personenbezogene Daten

Um die Risiken einschätzen zu können, muss zunächst für jede Verarbeitungstätigkeit eine Risikobewertung durchgeführt werden. Ein Risiko setzt sich aus der Wahrscheinlichkeit des Eintritts einer Gefährdung und der Höhe des Schadens zusammen, der durch den Eintritt verursacht wird.

Risiko = Schadensausmaß x Eintrittswahrscheinlichkeit

Verfahren zur Risikobewertung existieren im Bereich IT-Sicherheit oder in der Finanzwirtschaft bereits seit langem. Der Unterschied zum Datenschutz besteht allerdings darin, dass dort der Schaden immer als finanzieller oder immaterieller Verlust (z. B. Rufschädigung) für das Unternehmen selbst betrachtet wird. Beim Datenschutz geht es jedoch um die Rechte und Freiheiten von Personen, die nicht immer leicht zu beziffern sind. Dies hat erhebliche Unsicherheiten zur Folge, wie die Schadenshöhe einzuschätzen ist.

Das Unternehmen kann sie anhand des Schutzbedarfs für bestimmte Personengruppen (Kinder, Kranke), für besondere Datenkategorien (genetische oder biometrische Daten) oder anhand der Anzahl an gefährdeten Personen einschätzen. Ob aber deren Rechte und Freiheiten damit abgedeckt sind, können im Prinzip nur die Personen selbst beurteilen. Daher ist diese Einschätzung mit großer Vorsicht vorzunehmen.

Die durch eine Verarbeitung entstehenden Risiken können zu materiellen, immateriellen oder physischen Schäden für die betroffene Person führen. Ein materieller Schaden würde etwa ein finanzieller Verlust durch entgangene Aufträge, durch Identitätsbetrug oder durch einen Hacking-Angriff sein. Zu immateriellen Schäden zählen etwa eine Rufschädigung oder ein Vertraulichkeitsverlust. Physische Schäden könnten durch einen körperlichen Angriff aufgrund der Offenlegung von Wohnorten auftreten. 

Wie diese Schäden nun in verschiedene Kategorien einzuordnen sind, ist allerdings nicht mehr eindeutig. Die DSGVO legt keine Maßstäbe fest, anhand derer man das Schadensausmaß bestimmen könnte. Nicht nur gibt es keine objektive Einteilung, ob beispielsweise materielle oder immaterielle Schäden höher zu bewerten sind, derselbe Schaden kann für verschiedene Personen zudem unterschiedliche Auswirkungen haben. Daher ist man auf der sicheren Seite, wenn man das Ausmaß des Schadenszenarios möglichst hoch ansetzt.

Für personenbezogene Daten gilt laut SDM folgender vereinfachter Zusammenhang zwischen Risikohöhe und Schutzbedarfsstufe:

  • geringes Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • normales Risiko der Verarbeitung: normaler Schutzbedarf für von der Verarbeitung betroffene Personen
  • hohes Risiko der Verarbeitung: hoher Schutzbedarf für von der Verarbeitung betroffene Personen
Risikoklassen und Eintrittswahrscheinlichkeit

In der DSGVO werden keine Risikoklassen genannt, abgesehen von einem „hohen Risiko“, das die Durchführung einer Datenschutz-Folgenabschätzung erfordert.

Für die Voreinschätzung ist es im Prinzip ausreichend, den Schwellwert des Risikos zu ermitteln, ab dem die Durchführung einer DSFA notwendig ist.

Da im Zusammenhang mit den technischen und organisatorischen Maßnahmen zur Eindämmung des Risikos jedoch auch von der „Eintrittswahrscheinlichkeit“ eines Schadens die Rede ist, kann es sinnvoll sein, auch vorab schon Risikoklassen zu definieren.

Dazu legt man zunächst fest, wie hoch die Eintrittswahrscheinlichkeit für den jeweiligen Schadensfall ist. Jedes Schadenszenario ist dabei einzeln zu betrachten. Eine Kategorisierung kann beispielsweise in vier Stufen erfolgen: gering, mittel, hoch, sehr hoch. Mit dem zugehörigen Schadensausmaß ergibt sich dann das resultierende Risiko. Auch das Schadensausmaß kann in vier Stufen eingeteilt werden, beispielsweise: begrenzt, wesentlich, groß, maximal. Aus der Verknüpfung von Schadensausmaß und Eintrittswahrscheinlichkeit bildet man schließlich das Risiko.

Grafik: Matrix Risikobewertung

Dargestellt wird dieser Zusammenhang meist in einer Risikomatrix, indem das Schadensausmaß und die Eintrittswahrscheinlichkeit in Bezug gesetzt werden.

Beziffert man die Eintrittswahrscheinlichkeit und das Schadensausmaß mit natürlichen Zahlen, dann lässt sich das Risiko mathematisch berechnen: Risiko = Schadensausmaß x Eintrittswahrscheinlichkeit.

Mögliche Schadensereignisse und ihr Ausmaß

Welche Schäden im Detail entstehen können, hängt natürlich von der Art der Verarbeitung ab. Grundsätzlich denkbar sind folgende Schadensereignisse für betroffene Personen:

  • Diskriminierung
  • Identitätsdiebstahl
  • Existenzgefährdung
  • Finanzieller Schaden
  • Verlust der Vertraulichkeit
  • Verlust der Kontrolle der Betroffenen über die eigenen Daten
  • Rufschädigung
  • Gesellschaftliche Nachteile
  • Wirtschaftliche Nachteile
  • Verlust des Arbeitsplatzes
  • Geheimnisoffenbarung
  • Verarbeitung sensibler Daten (Gesundheitsdaten, genetische Daten, Religion etc.)
  • Profilbildung durch Bewertung persönlicher Aspekte

Das Schadensausmaß, dass Sie den jeweiligen Ereignissen zuordnen, hängt von der Art der Verarbeitung ab und darüber hinaus von weiteren Faktoren wie

  • der Menge an verarbeiteten personenbezogenen Daten
  • der Anzahl von betroffenen Personen

Das bedeutet, dass bei der Bewertung des Schadensausmaßes in Betracht gezogen werden muss, wie viele Personen betroffen sind, und ob besonders schützenswerte Personengruppen darunter sind.

Falls Sie als Onlinehändler sind und einen Onlineshop betreiben, könnte ein Hackerangriff mit Kompromittierung der Kundendatenbank für die Kunden einen Verlust der Vertraulichkeit zur Folge haben. Kundendaten könnten missbraucht werden und die Betroffenen könnten die Kontrolle über die eigenen Daten verlieren.

Jedes Risikoszenario wird betrachtet

Das alles liegt bei einer begrenzten Menge an Daten jedoch noch unterhalb des Schwellwertes. Anders kann es dagegen aussehen, wenn es große Datenmengen betrifft (umfangreiche Verarbeitung) oder wenn die Daten ein besonderes Schutzinteresse haben. Handelt es sich zum Beispiel um Kunden mit bestimmten Krankheiten, die in einer Online-Apotheke bestellen und Rezepte einreichen, dann wächst das Risiko für die Betroffenen möglicherweise deutlich an.

Die Eintrittswahrscheinlichkeit ist für jedes Risikoszenario und jeden Schaden vorzunehmen. Dabei kann jede der vier Kategorien differenzierter festgelegt werden, beispielsweise:

Geringe Wahrscheinlichkeit – trifft sehr selten ein (alle 10 Jahre)

Mittlere Wahrscheinlichkeit – trifft selten ein (alle 2 Jahre)

Große Wahrscheinlichkeit – häufiges Ereignis (1–2mal pro Jahr)

Sehr große Wahrscheinlichkeit – sehr häufiges Ereignis (einmal pro Monat)

Nachdem für jeden zu betrachtenden Verarbeitungsvorgang alle Werte zugeordnet wurden, können die Risiken berechnet werden. Liegt das Ergebnis eines Wertes über dem Schwellwert, dann muss für diesen Vorgang eine Datenschutz-Folgenabschätzung durchgeführt werden.

Wer die Risikoanalyse selbst vornehmen möchte, findet sehr ausführliche Hintergrundinformation zum allgemeinen Risikomanagement in der Norm ISO 31000. Zur Datenschutz-Folgenabschätzung selbst existiert mit der ISO/IEC 29134 ebenfalls eine ISO-Norm. Sie beschreibt den Ablauf der DSFA inklusive der Vorbereitung und der Nachbereitung.

DSFA Anwendungsfälle: Verarbeitungstätigkeiten mit hohen Risiken

Die Einschätzung der Risiken von einzelnen Verarbeitungstätigkeiten ist, wie schon weiter vorne beschrieben, nur im konkreten Fall möglich. Ist aber die Verarbeitung klar stark risikobehaftet, wie zum Beispiel beim Scoring und Profiling von Personen, dann gibt es gleich mehrere gravierende Risiken für die Betroffenen. Sie könnten durch die Profilbildung und Bewertung von persönlichen Aspekten etwa wirtschaftliche Nachteile oder gesellschaftliche Nachteile haben, bis hin zum Verlust des Arbeitsplatzes. Ihr Ruf könnte geschädigt werden, und sie könnten die Kontrolle über die eigenen Daten verlieren. Das Schadensausmaß ist in diesem Fall als groß einzustufen, wenn eine Vernichtung der Existenz droht, sogar als maximal.

In so einem Fall müssen technische und organisatorische Maßnahmen (TOM) umgesetzt werden, die in der Lage sind, das Risiko effektiv abzumildern. Dabei lässt sich entweder das zu erwartende Schadensausmaß oder die Eintrittswahrscheinlichkeit verringern. Falls dies nicht gelingen sollte, muss vor der Aufnahme der jeweiligen Verarbeitung die Aufsichtsbehörde kontaktiert werden. Unterlässt man das oder nimmt man erst gar keine Datenschutz-Folgenabschätzung vor, dann droht ein hohes Bußgeld.

Die zweckgebundene Sammlung von Kundendaten und Mitarbeiterdaten in der Buchhaltung ist dagegen keine Gefährdung, die als besonders groß zu bewerten ist. Auch Bewerberdaten dürfen erhoben werden, ohne dass das Risiko dadurch ansteigt. Voraussetzung ist allerdings, dass die Maßgaben zur Datensparsamkeit und damit Speicher- und Löschfristen eingehalten werden.

Pandemie und Homeoffice

Die Corona-Arbeitsschutzverordnung verpflichtet im Grundsatz jeden zum Homeoffice. Das impliziert jedoch nicht automatisch, dass jeder Arbeitgeber vorher eine Folgenabschätzung durchführen muss. Doch das Arbeiten im Homeoffice kann das Risiko einer ohnehin kritischen Verarbeitung weiter erhöhen.

Insbesondere, wenn Mitarbeiter ihre eigenen Geräte benutzen, kann die Eintrittswahrscheinlichkeit von Datendiebstahl und Kompromittierung zunehmen, wodurch auch personenbezogene Daten gefährdet sind. Durch den reduzierten Kontroll- und Einflussbereich des Unternehmens auf die Mitarbeiter wächst zudem die Gefahr des Datenmissbrauchs. Die Eintrittswahrscheinlichkeit kann somit beispielsweise von einer mittleren auf eine große Wahrscheinlichkeit steigen. Dadurch würde die Risikoklasse ebenfalls ansteigen.

Was umfasst die Datenschutz-Folgenabschätzung?

Falls eine Datenschutz-Folgenabschätzung unumgänglich ist, müssen die geplanten Verarbeitungsvorgänge so lange zurückgestellt werden, bis die DSFA abgeschlossen ist. Da die Durchführung recht aufwendig ist, wird in den meisten Fällen externe Beratung hinzugezogen. Ohne gute Datenschutzexpertise sollte man sich nicht an das Projekt wagen. Der Datenschutzbeauftragte soll laut BDSG an der Durchführung beteiligt werden. Die DSFA muss mindestens alle drei Jahre erneut durchgeführt werden, da sich die Umstände oder Abläufe der Verarbeitung geändert haben könnten.

Der Inhalt der Folgenabschätzung ist im BDSG beschrieben. Danach besteht die Dokumentation aus einer ausführlichen Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, einer Begründung, warum sie notwendig sind und eine Bewertung der Verhältnismäßigkeit sowie der Risikoanalyse. Zusätzlich müssen die technischen und organisatorischen Maßnahmen angegeben werden, die zur Abwendung der Gefahren für die Rechte und Freiheiten der Betroffenen angewandt werden.

Weiterhin muss erklärt werden, wie mit den Restrisiken umgegangen werden soll, die trotz der Maßnahmen bestehen bleiben. Falls aus der Datenschutz-Folgenabschätzung hervorgeht, dass ein hohes Risiko verbleibt, dass durch die Maßnahmen nicht verringert werden kann, ist eine Konsultation der Datenschutz-Aufsichtsbehörde notwendig.

Die Datenschutzbehörden des Bundes und der Länder haben auf der Datenschutzkonferenz (DSK) eine erste Orientierungshilfe zur Datenschutz-Folgenabschätzung veröffentlicht: Kurzpapier Nr. 5 der Datenschutzkonferenz (DSK)

Wir möchten darauf hinweisen, dass wir keine Rechtsberatung anbieten und der vorliegende Artikel lediglich ein Informationsangebot darstellt. Wir übernehmen keine Gewähr auf Vollständigkeit und Richtigkeit. Des Weiteren haben wir im Artikel aus Gründen der Einfachheit die männliche Schreibweise der „Mitarbeiter“ gewählt. Gemeint sind selbstverständlich Mitarbeiterinnen und Mitarbeiter gleichermaßen. Gleichberechtigung und Vielfalt sind uns wichtig!

Newsletter

Profitieren Sie von unserer Expertise auf den Gebieten Datenschutz & Datensicherheit rund um das Homeoffice und abonnieren Sie jetzt unseren Newsletter. Dürfen wir Sie in unsere Versandliste aufnehmen?

Mit "Senden" bestätigen Sie, dass Sie mindestens 18 Jahre alt sind und erteilen Ihr Einverständnis, dass die von Ihnen eingegebenen Daten, wie hier und in der Datenschutzerklärung erläutert, gespeichert und verarbeitet werden.