Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine strukturierte Risikoanalyse, die Unternehmen vor Einführung von Datenverarbeitungen durchführen müssen, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge haben.
Ausführliche Erklärung
Eine Datenschutz-Folgenabschätzung, kurz DSFA, ist ein zentrales Instrument des risikobasierten Datenschutzes in der EU. Sie verpflichtet Verantwortliche, vor Beginn bestimmter Datenverarbeitungen systematisch zu prüfen, welche Risiken für betroffene Personen entstehen können und mit welchen technisch-organisatorischen Maßnahmen diese Risiken minimiert werden. Die Durchführung liegt in der Verantwortung des Unternehmens, nicht beim Datenschutzbeauftragten – dieser muss jedoch zwingend einbezogen werden, wenn ein DSB bestellt ist.
Die Pflicht zur DSFA besteht immer dann, wenn die Verarbeitung ein hohes Risiko mit sich bringt. Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele: systematisches Profiling mit erheblichen Auswirkungen, umfangreiche Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen, sowie systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Zusätzlich veröffentlichen die Datenschutzbehörden sogenannte Muss-Listen mit konkreten Verarbeitungsvorgängen, für die in jedem Fall eine DSFA zu erstellen ist. Die Datenschutzkonferenz empfiehlt: Erfüllt eine Verarbeitung mindestens zwei von neun definierten Kriterien, ist eine DSFA in der Regel erforderlich.
Der Mindestinhalt einer DSFA ist in Art. 35 Abs. 7 DSGVO festgelegt: Sie muss eine systematische Beschreibung der Verarbeitungsvorgänge und deren Zwecke enthalten, eine Bewertung von Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung für die betroffenen Personen sowie die geplanten Abhilfemaßnahmen inklusive technischer und organisatorischer Schutzmaßnahmen. Die Ergebnisse sind zu dokumentieren und bei wesentlichen Änderungen der Verarbeitung zu aktualisieren.
Für KMU bedeutet die DSFA oft mehr Aufwand als zunächst angenommen: Auch kleinere Betriebe, die etwa Videoüberwachung einsetzen, umfangreiche Gesundheitsdaten verarbeiten oder KI-gestützte Systeme zur Personalauswahl nutzen, können DSFA-pflichtig sein. Die Nichtdurchführung kann mit Bußgeldern nach Art. 83 Abs. 4 DSGVO geahndet werden. Eine sorgfältig durchgeführte DSFA dient jedoch nicht nur der Compliance, sondern auch als Nachweis bei Datenpannen und als Grundlage für fundierte Entscheidungen über Sicherheitsmaßnahmen.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 18 Mitarbeitenden in Linz plant die Einführung eines cloudbasierten Dokumenten-Management-Systems, in dem sensible Finanzdaten, Lohnabrechnungen und Bilanzen von rund 200 Mandanten gespeichert werden. Da hier umfangreiche besondere Datenkategorien verarbeitet werden und ein Cloud-Dienstleister außerhalb Österreichs eingebunden wird, führt die Kanzlei eine DSFA durch. Diese zeigt, dass Ende-zu-Ende-Verschlüsselung, eine Auftragsverarbeitervereinbarung mit Prüfrechten und ein Notfall-Backup on-premise notwendig sind, um das Risiko auf ein akzeptables Maß zu senken.
Quellen
- Art. 35 DSGVO – Datenschutz-Folgenabschätzung
- BfDI – Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen
- DSFA-V – Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist
- Datenschutzbehörde Österreich – Verordnungen in Österreich