Gibt es eine standardisierte Methode für die Durchführung einer Datenschutz-Folgenabschätzung? Gibt es Skizzen, Vorlagen oder Werkzeuge zur Unterstützung der Durchführung einer DSFA?
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Datenschutz-Folgenabschätzung » Gibt es eine standardisierte Methode für die Durchführung einer Datenschutz-Folgenabschätzung? Gibt es Skizzen, Vorlagen oder Werkzeuge zur Unterstützung der Durchführung einer DSFA?

Da die Datenschutz-Folgenabschätzung ein relativ neues Instrument ist, das mit der Datenschutz-Grundverordnung auf EU-Ebene eingeführt wurde, gibt es immer noch zahlreiche Diskussionen und Denkansätze darüber, wie genau eine Datenschutz-Folgenabschätzung durchgeführt werden sollte. Einige nationale Aufsichtsbehörden haben Leitlinien zu diesem Thema oder sogar spezielle Instrumente und Vorlagen herausgegeben. Da eine Datenschutz-Folgenabschätzung in erster Linie von der zuständigen (d. h. in der Regel nationalen) Aufsichtsbehörde bewertet wird, kann die hier angebotene Anleitung nicht auf die in allen Mitgliedstaaten verfügbaren Informationen zurückgreifen. Stattdessen stützt sich die Anleitung auf die Stellungnahme der Artikel-29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (wp248rev.01)[1], die vom Europäischen Datenschutzausschuss formell angenommen wurde[2], [3]. Gemäß Artikel 70 Absatz 1 DSGVO stllt der Ausschuss „die einheitliche Anwendung dieser Verordnung sicher“ und ist daher die beste Quelle für Beratung auf europäischer Ebene.

Das von der Artikel-29-Datenschutzgruppe zur Verfügung gestellte Schaubild zur Veranschaulichung des iterativen Prozesses für die Durchführung einer DSFA wurde bereits in Abbildung 1 dargestellt. Es handelt sich um einen Zyklus, der die folgenden Schritte umfasst:

  1. Beschreibung der beabsichtigten Verarbeitung.
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit.
  3. Bereits vorgesehene Maßnahmen.
  4. Bewertung der Risiken für die Rechte und Freiheiten [natürlicher Personen].
  5. Geplante Maßnahmen zur Bewältigung der Risiken.
  6. Dokumentation.
  7. Überwachung und Überprüfung.

Die Artikel-29-Datenschutzgruppe erklärt, dass die Struktur einer Datenschutz-Folgenabschätzung flexibel gehandhabt werden kann:

„Die DSGVO lässt den für die Datenverarbeitung Verantwortlichen die nötige Flexibilität zur Festlegung der genauen Struktur und Form der DSFA, damit sie möglichst nahtlos in die bestehenden Arbeitsabläufe integriert werden kann. Auf Ebene der EU und auf internationaler Ebene wurde eine Vielzahl verschiedener Prozesse erarbeitet, die den in Erwägungsgrund90 beschriebenen Komponenten Rechnung tragen. Unabhängig von ihrer Form muss es sich bei einer DSFA jedoch um eine echte Risikoabschätzung handeln, auf deren Grundlage die für die Verarbeitung Verantwortlichen Abhilfemaßnahmen ergreifen können.“[4]

Die Artikel-29-Datenschutzgruppe gibt in ihrem Anhang I Beispiele für derzeit bekannte Ansätze[5]. Dazu gehören sowohl allgemeine nationale als auch branchenspezifische DSFA-„Rahmenbedingungen”. „Die [Artikel-29-Datenschutzgruppe] spricht sich für die Erarbeitung branchenspezifischer DSFA-Rahmenbedingungen aus“.[6]

Den Verantwortlichen steht es somit frei, die am besten geeignete Struktur und das am besten geeignete Format für eine Datenschutz-Folgenabschätzung zu wählen, solange bestimmte Anforderungen erfüllt sind: „Zwar ist die Wahl einer Methodik Sache des für die Verarbeitung Verantwortlichen, dieser muss jedoch beachten, dass die Kriterien gemäß Anhang 2 erfüllt sind.“[7] Die Datenschutzgruppe „Die WP29-Gruppe empfiehlt die folgenden Kriterien, anhand derer die für die Verarbeitung Verantwortlichen ermitteln können, ob eine DSFA oder eine Methodik zur Durchführung einer DSFA umfassend genug ist, dass den Vorschriften gemäß DSGVO entsprochen wird.“[8].

In der Regel werden die verschiedenen Methoden mit Skizzen, Vorlagen und/oder Tools geliefert.

Der Rest dieses Abschnitts konzentriert sich daher auf diese von der Artikel-29-Datenschutzgruppe aufgestellten Kriterien für eine akzeptable DSFA.

Die Kriterien spiegeln größtenteils die Struktur und den Inhalt von Artikel 35 Absatz 7 wider, enthalten jedoch zusätzliche Einzelheiten und Auslegungen. Im Folgenden wird der Inhalt mit einigen Umformulierungen und geringfügigen Umstrukturierungen aus Gründen der Klarheit[9] wiedergegeben:

  1. Systematische Beschreibung der Verarbeitung (Artikel 35 Absatz 7 Buchstabe a der Datenschutz-Grundverordnung)
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit (Artikel 35 Absatz 7 Buchstaben b und d DSGVO)
  3. Management der Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstaben c und d DSGVO)
  4. Einbeziehung betroffener Parteien (Artikel 35 Absatz 2 und Artikel 35 Absatz 9 DSGVO)

Jeder dieser Punkte wird in den folgenden Unterabschnitten ausführlicher behandelt.

Kann ich dem Standardansatz der ISO folgen?

Die ISO hat die internationale Norm ISO/IEC 29134:2017 „Informationstechnik – Sicherheitsverfahren – Leitlinien für die Datenschutz-Folgenabschätzung“ veröffentlicht. Wie bei ISO-Normen üblich, ist der Text der Norm nicht öffentlich zugänglich, sondern nur für zahlende Kunden. ISO-Normen sind globaler Natur und decken daher eine Vielzahl von Konzepten der „Privatsphäre“ ab. Es ist unwahrscheinlich, dass die Norm eine juristische Sichtweise einnimmt, und unmöglich, dass eine einzige Norm die notwendigerweise unterschiedlichen rechtlichen Anforderungen aus verschiedenen Gesetzgebungen erfüllt. Sollte der ISO-Ansatz für einen bestimmten Verantwortlichen geeignet sein, ist es daher ratsam, parallel dazu die für die Datenschutz-Grundverordnung spezifischen rechtlichen Leitlinien zu konsultieren.

Von allgemeiner Bedeutung für alle diese Unterabschnitte ist der zweite Satz von Erwägungsgrund 90 DSGVO. Er wird hier mit Hervorhebungen und von den Verfassern hinzugefügten Gliederungen (Aufzählungszeichen) wiedergegeben:

„Diese Folgenabschätzung sollte sich insbesondere mit Maßnahmen, Garantien und Verfahren befassen, durch die:

  • dieses Risiko eingedämmt,
  • der Schutz personenbezogener Daten sichergestellt und
  • die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.“

Mit anderen Worten:

  • Der Schwerpunkt der DSFA liegt auf Maßnahmen, Garantien und Verfahren.
  • Diese werden angewendet auf:
    • Risiken,
    • den Schutz personenbezogener Daten, d. h. die Einhaltung der Datenschutzgrundverordnung, und
    • den Nachweis der Einhaltung.

Wichtig ist, dass eine Datenschutz-Folgenabschätzung nicht nur auf die Identifizierung, Bewertung und Minderung von Risiken abzielt, sondern auch auf die Einhaltung und den Nachweis der Einhaltung. Letzteres wird besonders deutlich in Artikel 35 Absatz 7 Buchstabe b und dem entsprechenden Unterabschnitt 2 „Bewertung der Notwendigkeit und Verhältnismäßigkeit“, der weiter unten beschrieben wird.

Systematische Beschreibung der Verarbeitung

Zur weiteren Präzisierung von Artikel 35 Absatz 7 Buchstabe a DSGVO unterteilt die Datenschutzgruppe die Beschreibung der betreffenden Verarbeitung in die folgenden Elemente[10]:

  • Art, Umfang, Umstände und Zwecke der Verarbeitung (Erwägungsgrund 90 DSGVO);
  • personenbezogene Daten, Empfänger und Speicherfrist;
  • funktionelle Beschreibung des Verarbeitungsvorgangs;
  • technische und personelle Ressourcen, die für die Verarbeitung eingesetzt werden (Hardware, Software, Netzwerke, Menschen, Papier oder Papierübertragungswege);
  • Einhaltung der genehmigten Verhaltensregeln (Artikel 35 Absatz 8 DSGVO).

Zum ersten Punkt ist anzumerken, dass es in Artikel 35 Absatz 7 Buchstabe a heißt: „Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen.“

Während die meisten der hier aufgelisteten Begriffe wahrscheinlich gut verstanden werden, ist die genaue Bedeutung von (i) Art, (ii) Umfang und (iii) Umständen möglicherweise schwer zu erfassen. Da es keine verbindliche Auslegung dieser Begriffe gibt, wird im Folgenden eine mögliche Interpretation vorgestellt, in der Hoffnung, dass sie sich als hilfreich erweist.

(i) Art: Die Art der Verarbeitung kann mehrere Aspekte umfassen, darunter die Folgenden:

  • Verarbeitungsparadigma,
  • Paradigma der Infrastruktur,
  • Automatisierungsgrad,
  • Form von „Wirkung“,
  • Innovationsgrad.

Die Verarbeitungsparadigmen können von imperativen (d. h. „traditionellen“ Anwendungen) über regelbasierte/deklarative (z. B. Expertensysteme) bis hin zu maschinenlernbasierter künstlicher Intelligenz reichen.

Das Paradigma der Infrastruktur kann von einer Desktop-Anwendung über eine Client-Server-Anwendung bis hin zu einer Cloud-basierten Lösung reichen, die alle unterschiedliche Verteilungsebenen aufweisen.

Der Automatisierungsgrad kann von der Unterstützung menschlicher Akteure bis hin zum vollautomatischen Betrieb ohne jegliche Möglichkeit menschlichen Eingreifens reichen.

Die Form der „Wirkung“ beschreibt den „Output“ der Verarbeitung. Dies kann von reinen Informationen (in Informationssystemen) über die Schaffung eines Status (z. B. Wahlrecht), der die Handlungsmöglichkeiten einer Person bestimmt, über die Verwaltung virtueller Vermögenswerte einer Person (z. B. eines Bankkontos) bis hin zu cyber-physischen Systemen reichen, die sich direkt auf die physische Welt, in der die Person lebt, oder die Person selbst auswirken.

Der Innovationsgrad kann von der Beibehaltung eines realistischen Rahmens, in dem die Risiken und ihre Abschwächung gut bekannt sind, bis hin zum Einsatz neuer Technologien und Methoden reichen, deren Folgen noch nicht bekannt sind und die mit noch unbekannten Nebenwirkungen und Risiken verbunden sein können.

(ii) Umfang: Was innerhalb und außerhalb des Anwendungsbereichs der Verarbeitungstätigkeit liegt, bestimmt deren Auswirkungen. Beim Datenschutz muss der Anwendungsbereich in Bezug auf die betroffenen Personen betrachtet werden. Dies umfasst mehrere Aspekte, darunter die folgenden:

  • Welche und wie viele Personen sind betroffen?
  • Welche Aspekte des Lebens dieser Personen sind betroffen?
    • Für welche Dauer und mit welcher Häufigkeit werden diese Aspekte erfasst?
    • Mit welcher Richtigkeit werden diese Aspekte erfasst?

Welche und wie viele Personen betroffen sind, bestimmt offensichtlich die Auswirkungen der Verarbeitungstätigkeit. Welche Art von Personen betroffen ist, ist im Hinblick darauf interessant, ob einige von ihnen schutzbedürftig sind und besondere Arten des Schutzes benötigen. Neben der absoluten Zahl der Personen sind auch relative Zahlen in Bezug auf geografische Gebiete oder Benutzergruppen von Bedeutung.

Die betroffenen Lebensbereiche sind eng mit den betroffenen Datenkategorien verbunden. Es liegt auf der Hand, dass verschiedene Lebensbereiche unterschiedlich sensibel sind und somit ein unterschiedliches Risiko darstellen. In der Datenschutz-Grundverordnung werden die besonderen Kategorien von Daten (Artikel 9) zusammen mit Daten über strafrechtliche Verurteilungen (Artikel 10) als besonders sensibel bezeichnet. Die Auswirkungen der Datenverarbeitung hängen nicht nur von der Art der Aspekte ab, die in den Anwendungsbereich der Verarbeitung fallen, sondern auch davon, welches Spektrum von Aspekten einer Person angesprochen wird. Ein isolierter Aspekt hat in der Regel viel geringere Auswirkungen als die Verarbeitung eines Profils, das ein vollständiges Bild des Lebens einer Person vermittelt.

Der zeitliche Umfang, vor allem die Dauer, in der diese Aspekte erfasst werden, bestimmt ebenfalls die Auswirkungen. Dies hängt eng mit den Speicherfristen und der Löschung der Daten zusammen. Wenn eine bestimmte Art von Daten mehr als nur einmal erfasst wird, ist auch die Häufigkeit von Bedeutung. Am deutlichsten wird dies bei Standortdaten, bei denen eine einmalige Erfassung alle paar Tage einen großen Unterschied zu einer Erfassung alle paar Minuten darstellt.

Die Richtigkeit, mit der Aspekte des Lebens einer Person erfasst werden, bestimmt auch die Auswirkungen der Verarbeitungstätigkeit. Dies zeigt sich zum Beispiel beim Standort, bei dem die Kenntnis des Landes, in dem sich eine Person befindet, viel weniger Auswirkungen hat als die Kenntnis der genauen Koordinaten. Ebenso hat das Wissen, dass eine Person nicht volljährig ist, weitaus weniger Auswirkungen als die Kenntnis des Geburtsdatums.

(iii) Umstände: Das Verständnis einer Verarbeitungstätigkeit und ihrer Risiken ist ohne Kenntnis der Umstände oft unmöglich. Verschiedene Aspekte der Umstände können unter anderem sein:

  • rechtlich,
  • technisch,
  • wirtschaftlich,
  • gesellschaftlich.

Teil der rechtlichen Umstände ist die Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 DSGVO und möglicherweise Artikel 9 DSGVO. Ebenfalls relevant sind hier mögliche Zertifizierungen gemäß Artikel 42 DSGVO, genehmigte Verhaltensregeln gemäß Artikel 40 DSGVO (siehe Artikel 35 Absatz 8) und verbindliche unternehmensinterne Vorschriften gemäß Artikel 47 DSGVO. Die rechtlichen Umstände können auch maßgebliche Stellungnahmen des Europäischen Datenschutzausschusses gemäß Artikel 64 DSGVO oder Gerichtsentscheidungen umfassen, die für die Folgenabschätzung relevant sind. Es sei darauf hingewiesen, dass die Datenschutzgruppe die Verhaltensregeln in einem separaten Element aufgeführt hat, wahrscheinlich weil dies in Artikel 35 Absatz 8 DSGVO ausdrücklich gefordert wird.

Es gibt zwei Aspekte, die zu den technischen Umständen beitragen:

  • andere Verarbeitungstätigkeiten durch denselben oder andere Verantwortliche, die mit der Verarbeitungstätigkeit interagieren, und
  • der neueste Stand der Technik für Verteidigung und Angriff.

In manchen Fällen ist es unmöglich, eine Verarbeitungstätigkeit isoliert zu bewerten. Dies ist typischerweise bei verteilten Systemen der Fall, bei denen verschiedene Verantwortlichen verschiedene Komponenten betreiben. Ein gutes Beispiel ist das föderierte Identitätsmanagement, bei dem ein Identitätsanbieter eine Komponente betreibt, die nur verstanden werden kann, wenn auch die Nutzer und damit die vertrauenden Parteien berücksichtigt werden. Hier und in vielen anderen Fällen wird die Privatsphäre oft durch die Kommunikationsprotokolle zwischen den Komponenten und damit durch die Verarbeitungstätigkeiten bestimmt. Dies wird durch die Existenz speziell entwickelter Protokolle[11] zur Verbesserung der Privatsphäre verdeutlicht. Würde man die Auswirkungen ohne Berücksichtigung des Kontexts bewerten, so würden diese besonders relevanten Protokolle in die Lücken zwischen den Verantwortlichen und damit in die DSFA fallen.

Es liegt auf der Hand, dass der Stand der Technik berücksichtigt werden muss, um die Auswirkungen der Verarbeitung zu verstehen. Dementsprechend schreibt die Datenschutz-Grundverordnung die Berücksichtigung des Stands der Technik sowohl in Artikel 32 über die Sicherheit der Verarbeitung als auch in Artikel 25 über den Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen vor (siehe „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ in Teil II dieser Leitlinien, Abschnitt „Hauptkonzepte“). Bei der Sicherheit (einem Aspekt des Datenschutzes) ist es für das Verständnis der Risiken entscheidend, die aktuelle Bedrohungslandschaft zu verstehen, die die Leichtigkeit der Angriffe und die Verfügbarkeit und Effizienz von Abwehrmaßnahmen beschreibt. Um die Auswirkungen der Verarbeitung auf die betroffenen Personen im Sinne des „Datenschutzes durch Technikgestaltung“ zu minimieren, ist es entscheidend, die verfügbaren technischen Möglichkeiten zu kennen.

Die gesellschaftlichen Umstände beschreiben den Einfluss, den Personen und Organisationen potenziell auf die Verarbeitungstätigkeiten haben. Dazu gehört die Frage, wer daran interessiert sein könnte, die verarbeiteten Daten für andere Zwecke zu nutzen. Dazu gehört auch die Frage, wie motiviert und einfallsreich[12] die potenziellen Akteure sind. Es ist wichtig zu beachten, dass die Umstände nicht auf externe Akteure beschränkt sind, sondern auch interne Mitarbeiter umfassen, die ein Motiv haben könnten, Daten für andere Zwecke zu verwenden.

Bewertung der Notwendigkeit und Verhältnismäßigkeit

Bei der näheren Erläuterung von Artikel 35 Absatz 7 Buchstabe b DSGVO unterteilt die Datenschutzgruppe die Bewertung der Notwendigkeit und Verhältnismäßigkeit in mehrere Unterpunkte, die sich auf zwei große Gruppen verteilen[13]. Es ist wichtig, darauf hinzuweisen, dass sich all diese Punkte auf Maßnahmen beziehen, die zur Einhaltung der DSGVO vorgesehen sind.[14] Zum besseren Verständnis werden diese Punkte hier wie folgt unterteilt:

Punkte in Bezug auf:

  1. Allgemeine Pflichten aus Kapitel 2 „Grundsätze“ der DSGVO (siehe „Hauptgrundsätze“ in Teil II dieser Leitlinien)
  2. Spezifische Pflichten aus Kapitel 3 DSGVO „Rechte der betroffenen Person“ (siehe „Rechte der betroffenen Person“ in Teil II dieser Leitlinien)
  3. Spezifische Pflichten aus Kapitel 4 DSGVO „Verantwortlicher und Auftragsverarbeiter“.
  4. Spezifische Pflichten aus Kapitel 5 DSGVO „Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen“ (siehe „Übermittlung von Daten an Drittländer“ in Teil II Abschnitt „Wichtigste Instrumente und Maßnahmen“)

Diese werden im Folgenden ausführlicher beschrieben:

1. Grundsätze:

Die von der Artikel-29-Datenschutzgruppe in diesem Abschnitt aufgeführten Punkte entsprechen weitgehend den allgemeinen Datenschutzgrundsätzen von Buchstabe a bis Buchstabe f gemäß Artikel 5 Absatz 1 DSGVO, mit den folgenden Unterschieden:

  • Zur Abdeckung der Rechtmäßigkeit wird der konkretere Artikel 6 verwendet und nicht Artikel 5 Absatz 1 Buchstabe a selbst.
  • Artikel 5 Absatz 1 Buchstabe d über die „sachliche Richtigkeit“ entfällt, da das Recht der betroffenen Person auf Berichtigung dieselben Aspekte in konkreterer Weise abdeckt.
  • Artikel 5 Absatz 1 Buchstabe f über die Sicherheit („Integrität und Vertraulichkeit“) wird weggelassen, da dies wahrscheinlich später unter „Management der Risiken für die Rechte und Freiheiten der betroffenen Personen“ behandelt wird.

Die DSFA ist nun für jeden Grundsatz erforderlich (siehe „Hauptgrundsätze“ in Teil II dieser Leitlinien). Welche Maßnahmen wurden ergriffen, um den Grundsatz zu erfüllen? Im Folgenden wird eine unvollständige Auswahl von Beispielen für solche Maßnahmen gegeben:

Maßnahmen zum Nachweis der Einhaltung der in Artikel 5 Absatz 1 Buchstabe b beschriebenen „Zweckbindung“ bestehen in der Angabe der ausdrücklichen Zwecke der Verarbeitung. Diese Beschreibung muss präzise und konkret sein. Um die Einhaltung nachzuweisen, sollte begründet werden, warum diese Zwecke rechtmäßig sind und dass die Auswirkungen auf die betroffenen Personen so gering wie möglich gehalten wurden, indem die Zwecke so eng wie nötig gefasst wurden.

Ein weiterer wichtiger Aspekt von Artikel 5 Absatz 1 Buchstabe b ist, dass Daten „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen. Da die Offenlegung als Verarbeitung gilt (siehe Artikel 4 Absatz 2 DSGVO), bedeutet dies, dass personenbezogene Daten nur an Personen und Parteien weitergegeben werden dürfen, die für die angegebenen Zwecke erforderlich und durch diese gerechtfertigt sind. Zu den Maßnahmen, die die Einhaltung dieser Anforderung belegen, gehört die Dokumentation, wer (Mitarbeiter des Verantwortlichen und Drittempfänger) Zugang zu den Daten und der Verarbeitung benötigt und wie die Zugangsrechte in der Praxis verwaltet und aktualisiert werden. Dies ergänzt die Maßnahmen zur Abschwächung der Bedrohung durch unrechtmäßigen Zugriff, die Teil des weiter unten beschriebenen Abschnitts „Risikomanagement“ sind.

Die Maßnahmen zur Gewährleistung der Rechtmäßigkeit der Verarbeitung bestehen in der Dokumentation der gewählten Rechtsgrundlage gemäß Artikel 6 Absatz 1 und gegebenenfalls 9 Absatz 2 DSGVO.

Wenn Artikel 6 Absatz 1 Buchstabe a Einwilligung“ als Rechtsgrundlage verwendet wird, sollte die Dokumentation enthalten, wie diese Einwilligung eingeholt wurde (z. B. ein Formular oder ein Dialog), zusammen mit einer Begründung, wie die Anforderungen an die Einwilligung gemäß Artikel 7 und 8 DSGVO erfüllt werden. Wird die „ausdrückliche Einwilligung“ nach Artikel 9 Absatz 2 Buchstabe a gewählt, sollte eine Begründung hinzugefügt werden, wie die Anforderungen für diese besondere Form der Einwilligung erfüllt werden. Die beste Unterstützung hierfür bietet die Artikel-29-Datenschutzgruppe in ihren „Leitlinien zur Einwilligung“[15].

Bei der Wahl von Artikel 6 Absatz 1 Buchstabe f berechtigte Interessen des Verantwortlichen oder eines Dritten“ ist es sehr wichtig zu beachten, dass die Rechtsgrundlage lautet: „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt“. Um sicher zu sein, dass die Interessen der betroffenen Person das berechtigte Interesse des Verantwortlichen nicht überwiegen, ist eine zusätzliche „Abwägungsprüfung“ erforderlich (siehe „Berechtigtes Interesse und Abwägungsprüfung“ in Teil II, Abschnitt „Wichtigste Instrumente und Maßnahmen“). Was eine solche Abwägungsprüfung ist und wie sie durchzuführen ist, wurde von der Artikel-29-Datenschutzgruppe in ihrer Stellungnahme WP217[16] beschrieben.

Maßnahmen zum Nachweis der Einhaltung von Artikel 5 Absatz 1 Buchstabe c „Datenminimierung“ sind Begründungen dafür, dass die erhobenen und verarbeiteten personenbezogenen Daten den Zwecken entsprechen, dafür erheblich sind und sich auf das beschränken, was zur Erreichung der angegebenen Zwecke erforderlich ist (siehe „Datenminimierung“ in Teil II Abschnitt „Grundsätze“ dieser Leitlinien). .

Maßnahmen zum Nachweis der Einhaltung von Artikel 5 Absatz 1 Buchstabe e „Speicherbegrenzung“ (siehe „Speicherbegrenzung“ in Teil II, Abschnitt „Grundsätze“) bestehen aus einer Dokumentation, die belegt, dass die Daten nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist (und dann gelöscht werden), und dass Pseudonymisierung und Anonymisierung, die die Identifizierbarkeit der betroffenen Personen verringern/beseitigen, so bald wie möglich für die Zwecke angewandt werden (siehe „Identifizierung“, „Pseudonimierung“ und „Anonymisierung“ in Teil II dieser Leitlinien, Abschnitt „Hauptkonzepte“).

Eine wünschenswerte zusätzliche Maßnahme, die von der Gruppe zwar nicht ausdrücklich genannt wurde, wäre die Dokumentation der Personen und Empfänger, an die die Daten rechtmäßig weitergegeben werden.

2. Rechte der betroffenen Person: (siehe Abschnitt „Rechte der betroffenen Person“ in Teil II)

Die von der Artikel-29-Datenschutzgruppe in diesem Abschnitt aufgeführten Punkte decken fast alle Artikel des Kapitels 3 „Rechte der betroffenen Person“ ab. Dazu gehören die Artikel 12­ bis 14 DSGVO, in denen es hauptsächlich um Transparenz geht, sowie die Artikel 15 bis 21, die sich mit spezifischen Rechten der betroffenen Person befassen.

Die Maßnahmen zum Nachweis der Einhaltung der Pflichten gemäß Kapitel 3 bestehen in einer Dokumentation der Informationen, die den betroffenen Personen zur Verfügung gestellt werden, sowie der technischen oder organisatorischen Mittel, die den betroffenen Personen zur Ausübung dieser Rechte zur Verfügung stehen.

Es ist etwas überraschend, dass die Datenschutzgruppe Artikel 22 DSGVO nicht zu ihren Punkten zählt, obwohl „automatisierte individuelle Entscheidungsfindung, einschließlich Profiling“ offensichtlich hohe Risiken für die betroffenen Personen birgt. Es wird daher empfohlen, die Einhaltung dieses Artikels gegebenenfalls dennoch zu prüfen. Eine geeignete Maßnahme könnte in der Dokumentation bestehen, wie die betroffene Person das in Artikel 22 Absatz 3 erwähnte „Recht auf ein menschliches Eingreifen“ in Anspruch nehmen kann.

3. Pflichten des Verantwortlichen und des Auftragsverarbeiters:

Die von der Artikel-29-Datenschutzgruppe in diesem Abschnitt aufgeführten Punkte beziehen sich ausschließlich auf zwei Artikel des Kapitels 4 der Datenschutz-Grundverordnung „Verantwortlicher und Auftragsverarbeiter“, und zwar Artikel 28 und 36.

Artikel 28 betrifft die Auftragsverarbeiter. Zu den Maßnahmen, die die Einhaltung dieses Artikels belegen, gehören zum Beispiel[17] die folgenden:

  • Dokumentation der Garantien des Auftragsverarbeiters: „dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt“ (Artikel 28 Absatz 1 DSGVO).
  • Maßnahmen (wie Vertragsklauseln), die gewährleisten, dass „der Auftragsverarbeiter keinen anderen Auftragsverarbeiter ohne vorherige ausdrückliche oder allgemeine schriftliche Genehmigung des Verantwortlichen in Auftrag nimmt“ (Artikel 28 Absatz 2 DSGVO).
  • Dokumentation eines „Vertrags oder sonstigen Rechtsakts“, der die Verarbeitung durch den Auftragsverarbeiter regelt. Dazu gehören Klauseln, die die in Artikel 28 Absatz 3 Buchstaben a bis h genannten Anforderungen gewährleisten.

Artikel 36 befasst sich mit der „vorherigen Konsultation“ der zuständigen Aufsichtsbehörde, wenn das Restrisiko nach der Umsetzung geeigneter Abhilfemaßnahmen immer noch hoch ist. Die Maßnahme zum Nachweis der Einhaltung dieses Artikels besteht darin, diese Konsultation und ihr Ergebnis zu dokumentieren.

Über die beiden Artikel des Kapitels 3 der Datenschutz-Grundverordnung hinaus, die von der Datenschutzgruppe ausdrücklich genannt wurden, sind weitere Maßnahmen möglich und wünschenswert. Einige Beispiele sind die folgenden:

  • Maßnahmen zum Nachweis der Einhaltung von Artikel 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ können eine Dokumentation darüber umfassen, wie der Datenschutz bereits bei der Konzeption und Gestaltung der Verarbeitungstätigkeit berücksichtigt wurde. Dies kann z. B. in Datenschutzanforderungen bestehen, die für eine kundenspezifische Entwicklung oder Ausschreibung festgelegt wurden, oder in einer Analyse der Einhaltung des Datenschutzes während eines Auswahlverfahrens (siehe „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ in Teil II, Abschnitt „Hauptkonzepte“ dieser Leitlinien).
  • Maßnahmen zum Nachweis der Einhaltung der Artikel 33 und 34 über die Benachrichtigung und Kommunikation bei Datenschutzverletzungen könnten in der Dokumentation interner Verfahren für den Umgang mit solchen Situationen bestehen.

4. Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen:

In diesem Abschnitt gibt die Artikel-29-Datenschutzgruppe einen einzigen Hinweis, der sich auf das gesamte Kapitel 5 der Datenschutz-Grundverordnung bezieht. Die Maßnahmen zum Nachweis der Einhaltung in diesem Abschnitt dokumentieren die vorhandenen Garantien, die die betroffenen Personen in dem Fall schützen, dass ihre Daten in Bereiche übermittelt werden, in denen die DSGVO nicht unmittelbar durchsetzbar ist. Zu den konkreten Maßnahmen gehören der Nachweis, dass ein Angemessenheitsbeschluss der Kommission vorliegt (Artikel 45 DSGVO), die Einhaltung rechtsverbindlicher Unternehmensvorschriften (Artikel 47 DSGVO) oder die Verwendung anderer rechtsverbindlicher und durchsetzbarer Garantien (Artikel 46 DSGVO) (siehe „Datenübermittlungen in Drittländer“ in Teil II, Abschnitt „Wichtigste Instrumente und Maßnahmen“ dieser Leitlinien)

Management der Risiken für die Rechte und Freiheiten der betroffenen Personen

Artikel 35 Absatz 7 Buchstabe c schreibt die „Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen“ vor. In Erwägungsgrund 84 heißt es weiter, dass der Verantwortliche, der eine Datenschutz-Folgenabschätzung durchführt, „insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos“ evaluieren sollte. Auf dieser Grundlage unterstreicht die Artikel-29-Datenschutzgruppe, dass eine solche Evaluierung aus der Perspektive der betroffenen Person erfolgen muss, und stellt den folgenden Ansatz vor:

  • eine Liste von Risiken, die evaluiert werden müssen, und
  • eine Reihe von Schritten, die eine solche Evaluierung darstellen

Eine Datenschutz-Folgenabschätzung muss daher diese Schritte für jedes der Risiken berücksichtigen.

Die Artikel-29-Datenschutzgruppe nennt die folgenden Risiken:

  1. unrechtmäßiger Zugang [zu personenbezogenen Daten],
  2. unerwünschte Veränderung [personenbezogener Daten] und
  3. Verschwinden von Daten.

Offensichtlich umschreiben diese Risiken den Wortlaut von Artikel 5 Absatz 1 Buchstabe f über den Grundsatz der „Integrität und Vertraulichkeit“. Dies steht auch im Einklang mit der „Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste“, die in Artikel 32 Absatz 1 Buchstabe b DSGVO genannt werden. Es ist auch möglich, eine direkte Äquivalenz zu den in der IT-Sicherheit verwendeten Schutzzielen zu sehen, nämlich Vertraulichkeit, Integrität und Verfügbarkeit.

Für die Evaluirung der einzelnen Risiken nennt die Artikel-29-Datenschutzgruppe die folgenden Komponenten:

  1. Identifizierung von Risikoquellen (gemäß Erwägungsgrund 90)
  2. Ermittlung der potenziellen Auswirkungen der einzelnen Risiken auf die Rechte und Freiheiten natürlicher Personen
  3. Identifizierung der Bedrohungen, die zu diesen Risiken führen könnten
  4. Schätzung der Wahrscheinlichkeit und des Ausmaßes der Risiken (in Übereinstimmung mit Erwägungsgrund 90)

Auf dieser Grundlage müssen unter Berücksichtigung der geschätzten Wahrscheinlichkeit und Schwere jedes Risikos geeignete Maßnahmen zur Risikominderung konzipiert, umgesetzt und in der Folgenabschätzung dokumentiert werden (wie in Artikel 35 Absatz 7 Buchstabe d und Erwägungsgrund 90 vorgeschrieben).

Da die Grundsätze der „Integrität und Vertraulichkeit“ (siehe „Integrität und Vertraulichkeit“ in Teil II, Abschnitt „Grundsätze“ dieses Leitfadens) sowie die aufgeführten Bedrohungen typisch für die IT-Sicherheit sind, sind die hier dokumentierten Maßnahmen aus dieser Disziplin bekannt. Der wesentliche Unterschied zur Sicherheit besteht in der Einschätzung der Schwere bzw. der Auswirkungen, die vielmehr in Bezug auf die betroffenen Personen als auf die verantwortliche Organisation evaluiert werden. Die Tatsache, dass sich nur dieser Abschnitt mit der IT-Sicherheit befasst, verdeutlicht den oben bereits angesprochenen Unterschied weiter.

Einbeziehung der interessierten Parteien

Gemäß Artikel 35 Absatz 2 holt der Verantwortliche „bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“

Ferner heißt es in Artikel 35 Absatz 9: „Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“

In diesem Abschnitt der Datenschutz-Folgenabschätzung wird dokumentiert, dass diese beiden Anforderungen von dem Verantwortlichen tatsächlich erfüllt wurden. Wurden die Meinungen der betroffenen Personen oder ihrer Vertreter eingeholt, sollte die Dokumentation begründen, warum diese Meinungen als angemessen repräsentativ für die betroffenen Personen angesehen werden sollten. Wurden keine Meinungen eingeholt, sollte in der Dokumentation erläutert werden, warum dies nicht sinnvoll oder möglich war.

 

Quellenangaben

1wp248rev.01, ARTIKEL-29-DATENSCHUTZGRUPPE, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, Angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (zuletzt besucht am 14.01.2020).

2Billigung der Leitlinien der Artikel-29-Datenschutzgruppe für die Datenschutz-Grundverordnung durch den EDSA, https://edpb.europa.eu/news/news/2018/endorsement-DSGVO-wp29-guidelines-EDSA_en, Brüssel, 25. Mai 2018, Punkt 6.

3https://edpb.europa.eu/

4wp248rev.01, Seite 17, Abschnitt III.D.c, 4. Absatz, Hervorhebung durch die Autoren.

5>Anhang I der wp248rev.01, Seite 21.

6wp248rev.01, Seite 17, Abschnitt III.D.c, 6. Absatz, Hervorhebung durch die Autoren.

7wp248rev.01, Seite 17, Abschnitt III.D.c, 6. Absatz, Hervorhebung durch die Autoren.

8wp248rev.01, Seite 22, Anhang II, erster Absatz.

9Die Kriterien werden im Wortlaut der Bewertungskriterien angegeben. In diesem Dokument wird der Wortlaut in Titel geändert, die die Struktur widerspiegeln. Zum Beispiel wird „eine systematische Beschreibung der Verarbeitung wurde bereitgestellt“ in „systematische Beschreibung der Verarbeitung“ geändert. Außerdem wird der einzige Eintrag auf oberster Ebene, der sowohl Artikel 35 Absatz 7 Buchstabe c als auch Buchstabe d entspricht, in zwei separate Einträge aufgeteilt.

10Angepasst von wp248rev.01, Seite 22, Anhang II.

11Dies wird durch die kryptografische Technik der p+privaten Mengenüberschneidung veranschaulicht (siehe https://en.wikipedia.org/wiki/Private_set_intersection).

12Zu den Ressourcen zählen hier die technischen und wirtschaftlichen Möglichkeiten sowie die Verfügbarkeit zusätzlicher Informationen, auf die ein Akteur Zugriff hat.

13Angepasst von wp248rev.01, Seite 22, Anhang 2.

14Siehe wp248rev.01, Seite 22, Anhang 2, 1. Aufzählungspunkt unter „die Notwendigkeit und Verhältnismäßigkeit wurden bewertet“

15wp259rev.01, ARTIKEL-29-DATENSCHUTZGRUPPE, Guidelines on Consent under Regulation 2016/679, angenommen am 28. November 2017, zuletzt überarbeitet und angenommen am 10. April 2018, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (zuletzt besucht am 29.01.2020)

16wp217, ARTIKEL-29-DATENSCHUTZGRUPPE, Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie 95/46/EG, angenommen am 9. April 2014, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_en.pdf (zuletzt besucht am 29/01/2020). Beachten Sie, dass sich diese Stellungnahme zwar eher auf die Datenschutzrichtlinie als auf die Datenschutz-Grundverordnung bezieht, die Konzepte und Methoden jedoch gleichermaßen gelten sollten.

17Die Liste der Beispiele erhebt keinen Anspruch auf Vollständigkeit.

Skip to content