/

BlogDatenschutz
#DSFA

Eine der Handlungspflichten in der DSGVO ist die hier behandelte Datenschutzfolgenabschätzung (DSFA) in Kombination mit einer Risikoanalyse. Der Begriff DSFA deutet an, dass hier Risiko und Folgen einer Datenschutzverletzung geklärt werden. Diese Klärung erfolgt nach der Erstellung des Verzeichnis von Verarbeitungstätigkeiten der personenbezogener Daten [Siehe auch Art. 30 DSGVO]

In der DSGVO ist die Datenschutzfolgenabschätzung (DSFA) detailliert geregelt. Eine DSFA muss durchgeführt werden, wenn die Verarbeitung von personenbezogenen Daten mit einem erhöhten Risiko für die Betroffenenrechte verbunden ist. Bei der Bewertung des Risikos ist die Art, den Umfang, die Umstände und die Zwecke der Datenverarbeitung zu berücksichtigen. Ähnliche Verarbeitungsvorgänge können in einer einzigen Folgenabschätzung behandelt werden.

Eine Datenschutzfolgenabschätzung ist bei vielen automatisierten Verarbeitungen, wie Profiling-Verfahren oder Tracking, notwendig. Hierzu zählt die Verarbeitung besonderer Kategorien von personenbezogenen Daten, wie z.B. genetische oder biometrische Daten. Eine DSFA beinhaltet eine systematische Beschreibung der Verarbeitungsvorgänge und die Zwecke der Verarbeitung, ggf. die berechtigten Interessen des Unternehmens. Enthalten sollte auch eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge, sowie eine Risikoanalyse bezüglich der Rechte und Freiheiten der betroffenen Personen, mit der zur Reduzierung der Risiken geplanten Maßnahmen [Siehe Art. 35 DSGVO, Absatz 7].

Anhand der Folgenabschätzung kann darüber entschieden werden, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten DSGVO-konform ist. Weisen die Verarbeitungsvorgänge ein hohes Risiko auf, welches nicht selbst durch geeignete Maßnahmen reduziert werden kann, so ist die Kontaktaufnahme zur zuständigen Aufsichtsbehörde zur Unterstützung erforderlich.

Zur Bestimmung des Risikos des betrachteten Verarbeitungsvorgangs wird die Eintrittswahrscheinlichkeit und der Schaden berücksichtigt (Definition aus der ISO 27001). In meinen Projekten verwende ich zur besseren Visualisierung gerne eine Risikomatrix. Die eine Achse enthält die Eintrittswahrscheinlichkeit eines möglichen Schadens in den Abstufungen sehr unwahrscheinlich, unwahrscheinlich, wahrscheinlich bis sehr wahrscheinlich. Auf der Schadensseite betrachte ich die Datenkategorien der personenbezogenen Daten von normal, sensibel bis sehr sensibel. Die Abstufungen können sich je nach betreutem Kunden ändern.

Im Rahmen der Auswertungen wird der Augenmerk ab sensible personenbezogenen Daten mit einem ab wahrscheinlichen Schadenseintritt geworfen. Durch diese Priorisierung wird ein effizientes Arbeiten möglich, weil besonders kritische Risiken als erstes behandelt werden können. Die Behandlung kann mit entsprechend hohen Kosten verbunden sein, die Einfluss auf die Maßnahmenauswahl haben.

Ist eine ausreichende Behandlung der festgestellten Risiken nicht möglich, kann unter Umständen die zuständige Aufsichtsbehörde konsultiert werden. Innerhalb von zwei Monaten sollte die Behörde eine schriftliche Empfehlung erteilen, wie mit dem betreffenden Verarbeitungsvorgang umzugehen ist.

Die Behörden stellen auf ihren Webseiten Hilfsmittel mit Positiv- bzw. Negativlisten zur Verfügung. Diese helfen bei der Orientierung und zur Anfangsklärung. Diese nutze ich bei meiner Arbeit und beginne mit der Erfassung der Datenkategorien, die verarbeitet werden sollen, und deren Schutzziele betroffen sein könnten. Das oben erwähnte Verzeichnis wird hinsichtlich der Prozesse bzw. Szenarien in Richtung Bedrohung, Gefährdung und Risiken untersucht.

Die entstandene Dokumente stellen die wichtige Basis für nachfolgende Handlungsempfehlungen dar, welche widerum in die Arbeit der Datenschutzbeauftragten und Informationssicherheitsmanager einfließen.