standard-datenschutzmodell datenschutz-folgenabschätzung datenübermittlung ausland prüfung dsms datenschutzmanagementsystem dsfa zertifizierung forschung zweckänderung prüfung fragebogen

Datenschutz-Folgenabschätzung und Standard-Datenschutzmodell

Die EU-Datenschutzgrundverordnung (DSGVO) führt in Art. 35 die Datenschutz-Folgenabschätzung ein. Diese kann zumindest grob betrachtet als Fortsetzung der Vorabkontrolle verstanden werden. Dabei darf nicht übersehen werden, dass die Vorabkontrolle bisher nur bei besonders risikoreichen Verarbeitungen zur Anwendung kam und durch den Datenschutzbeauftragten durchzuführen war, die Datenschutz-Folgenabschätzung hingegen ab Anwendung der DSGVO im Mai 2018 zur Pflicht für nahezu jegliche Verarbeitung wird.

Risikoabschätzung für nahezu alles!

Mit anderen Worten: Die ausführliche Risikoabschätzung von Verfahren, sowie die Begründung für ihre Zulässigkeit müssen nun nicht mehr nur bei stark risikobehafteten Verfahren gemacht werden, sondern eigentlich immer. Die DSGVO spricht zwar von einem „hohen Risiko für die Rechte und Freiheiten des Betroffenen“. Allerdings wird auch von „neuen Technologien“ gesprochen, ohne das weiter zu definieren.

Erwägungsgrund 84 erläutert, dass die Datenschutz-Folgenabschätzung u. a. ein Mittel zur Evaluation des Risikos für den Betroffenen sein soll. Damit kann davon ausgegangen werden, dass sie nahezu bei allen Verfahren durchzuführen ist. Unterstrichen wird unsere Meinung von den Erwägungsgründen 89 und 90. In denen wird empfohlen eine Datenschutz-Folgenabschätzung auch dann zu machen, wenn bereits erwähnte (und nicht näher definierte) neue Technologien eingesetzt werden und der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat. Es wird vieles davon abhängen, was die Aufsichtsbehörden als „neue Technologien“ ansehen.

Art. 35 Abs. 4 fordert übrigens die Aufsichtsbehörden auf, eine Liste der Verarbeitungsvorgänge zu erstellen, bei denen zwingend eine Datenschutz-Folgenabschätzung durchzuführen ist. Diese wird aufgrund des in Abs. 6 geforderten Kohärenzverfahrens europaweit einheitlich sein. Bis diese Liste existiert dürften noch ein paar Monate ins Land gehen. Interessant und vermutlich auch recht lang wird sie aber sicher sein. Und sie gibt ein Stück Weit Sicherheit, was das Minimum ist, welches die Aufsichtsbehörden von den Unternehmen erwarten.

Wer macht’s?

Zuständig für die Datenschutz-Folgenabschätzung ist nicht mehr der Datenschutzbeauftragte, sondern die Verantwortliche Stelle. Wenn ein Datenschutzbeauftragter bestellt ist, muss dieser gem. Art. 35 Abs. 2 DSGVO allerdings einbezogen werden. Ob diese Regelung der Verantwortlichkeit sinnvoll ist, sei einmal dahingestellt. Mit hoher Wahrscheinlichkeit wird die Aufgabe der Datenschutz-Folgenabschätzung ohnehin wieder bei demjenigen im Unternehmen landen, der fachlich am geeignetsten ist: Beim Datenschutzbeauftragten – und das ist in unseren Augen auch vernünftig so.

Das Standard-Datenschutzmodell

In den letzten Wochen haben die Aufsichtsbehörden – allen voran das ULD aus Schleswig-Holstein – begonnen, kräftig die Werbetrommel für das sog. Standard-Datenschutzmodell (SDM) zu rühren. Beim Standard-Datenschutzmodell handelt es sich vereinfacht gesagt um ein (Zitat) „Vorgehensmodell zur Beratung und Prüfung auf Basis einheitlicher Gewährleistungziele“, welches von der 90. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (also allen deutschen Aufsichtsbehörden gemeinsam) empfohlen wird.

4 Schritte sollst Du geh’n

Der Prüfprozess ist recht starr und sieht (sehr grob dargestellt) 4 Schritte vor, von denen die beiden letzten  durch das SDM abgedeckt werden. Die ersten beiden Schritte waren schon von jeher für jedes Verfahren durchzuführen.

  1. Prüfung auf Datenschutzrelevanz
  2. Prüfung der Rechtsgrundlage (Gesetz, Vertrag, Betriebsvereinbarung, Einwilligung etc., sowie )
  3. Prüfung der Prüffähigkeit (Liegt die benötigte Dokumentation vor? Kann die Dokumentation gegen den Ist-Stand abgeglichen werden?)
  4. Prüfung der Implementation (Umsetzung der Funktion; Sind Schutzmaßnahmen angemessen und ausreichend?)

Nach jedem der Schritte kann (bzw. soll) bei negativem oder nicht ausreichendem Ergebnis die Prüfung abgebrochen werden. Die Aufsichtsbehörden würden in einem solchen Fall den Schritt einer Anordnung, der Untersagung oder des Bußgelds gehen. Der Verantwortliche im Unternehmen ist im Fall des Abbruchs gehalten, für Behebung des Zustands zu sorgen. Das kann z. B. das Aussetzen des Verfahrens sein, die Schaffung der Rechtsgrundlage, die Erstellung einer brauchbaren Dokumentation oder die Implementation von angemessenen Schutzmaßnahmen sowie zahlreiche weitere Maßnahmen.

Gewährleistungsziele

Das Standard-Datenschutzmodell definiert – deutlich detaillierter als die DSGVO – sieben Gewährleistungsziele:

  • Datensparsamkeit
  • Verfügbarkeit
  • Integrität
  • Vertraulichkeit
  • Nichtverkettbarkeit (hiermit ist die Sicherstellung und Nachweisbarkeit der Zweckbindung gemeint)
  • Transparenz
  • Intervenierbarkeit (hiermit ist die Sicherstellung der Interventionsrechte des Betroffenen gemeint)

Praktischer Weise liefert das SDM gleich einen generischen Maßnahmenkatalog zur Erreichung der einzelnen Gewährleistungsziele mit. Dieser muss „nur noch“ in konkrete und für die jeweilige Verarbeitung angemessene Maßnahmen transformiert werden. Danach kann dieser individuelle Katalog genutzt werden, um die entsprechende Verarbeitung zu prüfen. Bislang nur angekündigt ist als „Anlage A“ zur SDM-Dokumentation auch ein Katalog mit konkreten Maßnahmen. Dieser ist aber gem. Rückfrage beim ULD noch in Arbeit. Wann er veröffentlicht wird, konnte uns leider zum jetzigen Zeitpunkt noch nicht gesagt werden.

Was hat das Standard-Datenschutzmodell mit der Folgenabschätzung zu tun?

Gleicht man nun einmal ab, was bei der Datenschutz-Folgenabschätzung zu tun ist, stellt man schnell eine große Übereinstimmung mit dem Standard-Datenschutzmodell fest. Zwar sind die Gewährleistungsziele bei der Datenschutz-Folgenabschätzung nicht so ausführlich definiert, wie die des SDM. Implizit sind sie allerdings alle in der DSGVO vorhanden.

Wir gehen fest davon aus, dass die Aufsichtsbehörden eine Datenschutz-Folgenabschätzung, welche die von ihnen selbst definierten Gewährleistungsziele verfolgt,auch akzeptieren werden.

Der große Vorteil des SDM ist, dass es bereits heute anwendbar ist und den Anforderungen des BDSG vollends genügt. Dabei ist es zukunftssicher, denn auch unter der DSGVO kann es weiter angewandt werden. Sollten (geringfügige) Änderungen notwendig sein, so ist zu erwarten, dass diese noch vor Anwendbarkeit der DSGVO im Mai 2018 von den Aufsichtsbehörden formuliert werden.

Es macht u. E. großen Sinn, sich mindestens im Hinblick auf die nahende DSGVO mit dem Standard-Datenschutzmodell zu beschäftigen.

Benötigen Sie Unterstützung beim Übergang zur DSGVO? Wir helfen gerne, unkompliziert und mit Augenmaß.


Diesen Beitrag teilen