Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
DSGVO Art 35, 36
Wann ist Folgenabschätzung erforderlich - Ausnahmen von Folgenabschätzung - verpflichtende Folgenabschätzung - wer muss Folgenabschätzung machen - wie ist Folgenabschätzung zu machen
Große Verunsicherung löst bei der Datenschutz-Grundverordnung (DSGVO) die Verpflichtung zur Folgenabschätzung aus. Wer das Thema googelt wird zahllose Mythen und Fehlinformationen finden, insbesondere was Aufwand und Umfang angeht. Die ARGE DATEN hat einen einfachen und leicht umsetzbaren Überblick zusammen gestellt.
Bei Verarbeitungen mit einem voraussichtlich hohem Risiko für den Betroffenen müssen diese Risken analysiert werden und Maßnahmen zur Reduktion der Risken getroffen werden. Können die Risken nicht angemessen reduziert werden, dann ist vor Inbetriebnahme der Verarbeitung die Datenschutzbehörde zu konsultieren.
Das Verfahren hat große Ähnlichkeit mit dem Vorab-Konsultationsverfahren nach dem alten DSG 2000, geht aber im Umfang und in den Konsequenzen wesentlich weiter.
Wann ist eine Folgenabschätzung erforderlich?
Art. 35 DSGVO sagt ganz allgemein, jede "Verarbeitung mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen" MUSS einer Folgenabschätzung unterzogen werden.
In weiterer Folge werden einige, jedoch nicht abschließende Hinweise gegeben, unter welchen Bedingungen die DSGVO davon ausgeht, dass ein "hohes Risiko" besteht. Dies ist bei Verwendung neuer Technologien bei besonders umfangreichen Verarbeitungen, bei Vorliegen besonderer Umstände der Datenverarbeitung oder bei bestimmten Zwecken der Verarbeitung der Fall. Diese abstrakten Vorgaben werden in der DSGVO mit Beispielen präzisiert.
Beispiele der DSGVO zur Folgenabschätzung:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten
- umfangreiche Verarbeitung strafrechtlicher Verurteilungen und Straftaten
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
Wann ist eine Folgenabschätzung jedenfalls erforderlich?
Die in der DSGVO genannten Bedingungen sind abstrakt und lassen Interpretationsspielraum zu. Deswegen sieht die Verordnung vor, dass die Aufsichtsbehörden eine Liste von Verarbeitungen vorlegen, bei denen eine Folgenabschätzung auf jeden Fall durchzuführen ist. Diese Liste wurde in Österreich noch nicht publiziert.
Die Artikel-29-Gruppe hat einige konkrete Beispiele genannt:
- Spitalsinformationssysteme (Patientenverwaltung bzw. Krankenakte)
- Verkehrsüberwachungsysteme mit dem Ziel einzelne Fahrer zu identifizieren (in Österreich jedenfalls: Section Control, Vignetten-Überwachng, Radarüberwachung, LKW-Maut)
- systematische Mitarbeiterüberwachung (personenbezogene Tätigkeitsanalysen, Analyse der Internet- oder eMailaktivitäten)
- Profilerstellung auf Grund von Social Media - Aktivitäten
- Datenbank zu Kredtiwürdigkeit und/oder Betrugstätigkeit von Personen (Wirtschaftsauskunftsdienste, Bonitätsbewertungen)
- Langzeitarchivierung pseudonymisierter Gesundheitsdaten (Datenbank zu klinischen Versuchen, Datenbanken mit genetischen oder sonstigem biologischen Material)
Die Artikel-29-Gruppe hat auch Beispiele genannt, bei denen Folgenabschätzung nicht erforderlich ist:
- Patientenverwaltung eines einzelnen Arztes, sonstigen Gesundheitsdiensteanbieters oder Klientenverwaltung eines Anwalts
- Onlinemagazin, dass personenbezogene tägliche Nachrichtübersichten an ihre Abonnenten verschickt
- Online-Plattform, die auf Basis des auf der eigenen Website festgestellten Verhaltens personalisierte Werbung verschickt
Die Beispiele decken nur einen sehr kleinen Bereich ab und lassen viele Abgrenzungsfragen offen. Der einzelne Arzt fällt nicht unter die Verpflichtung der Folgenabschätzung, das Großspital schon. Wie ist aber eine Ordinationsgemeinschaft mit 3,4,10 Mitarbeitern einzustufen?
Wann ist eine Folgenabschätzung keinesfalls erforderlich?
Neben der Liste der Verarbeitungen bei denen die Folgenabschätzung verpflichtend ist, kann jede Datenschutzbehörde auch eine Liste von Verarbeitungen veröffentlichen, bei denen keinesfalls eine Folgenabschätzung erforderlich ist.
Den Entwurf zu dieser Liste hat die Datenschutzbehörde im März 2018 veröffentlicht. Sie enthält im Wesentlichen die wichtigsten Verarbeitungen aus der alten Standard- und Musterverordnung
Keine Folgenabschätzung erforderlich (Entwurf Stand 2018/04/09)
DSFA-A01 Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
DSFA-A02 Personalverwaltung für privatrechtliche und öffentlich-rechtliche Dienstverhältnisse
DSFA-A03 Mitgliederverwaltung
DSFA-A04 Kundenbetreuung und Marketing für eigene Zwecke
DSFA-A05 Sach- und Inventarverwaltung
DSFA-A06 Register, Evidenzen, Bücher
DSFA-A07 Zugriffsverwaltung für EDV-Systeme
DSFA-A08 Zutrittskontrollsysteme
DSFA-A09 Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
DSFA-A10 Bild- und Akustikdatenverarbeitung in Echtzeit
DSFA-A11 Bild- und Akustikverarbeitungen zu Dokumentationszwecken
DSFA-A12 Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheker
DSFA-A13 Rechts- und Beratungsberufe
DSFA-A14 Wissenschaftliche Forschung und Statistik
DSFA-A15 Unterstützungsbekundungen im Rahmen von Bürgerinitiativen
DSFA-A16 Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
DSFA-A17 Öffentliche Abgabenverwaltung
DSFA-A18 Förderverwaltung
DSFA-A19 Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
DSFA-A20 Aktenverwaltung (Büroautomation) und Verfahrensführung
DSFA-A21 Organisation von Veranstaltungen
Zu beachten ist jedoch, dass die Ausnahmen nicht generell gelten, sondern nur im Umfang, wie sie in der Verordnung beschrieben werden.
So muss zur Zutrittskontrolle (DSFA-A08) keine Folgenabschätzung gemacht werden, aber nur solange "keine biometrischen Daten von Betroffenen verarbeitet werden". Führt ein Unternehmen eine Zugangskontrolle mit Fingerabdruckerfassung oder Irisscan ein, dann ist eine Folgenabschätzung zu machen.
Wer hat die Folgenabschätzung durchzuführen?
Die Folgenabschätzung muss der Verantwortliche durchführen, nicht jedoch ein Auftragsverarbeiter. Der Auftragsverarbeiter hat den Verantwortlichen jedoch soweit als möglich zu unterstützen. Die Folgenabschätzung muss vor Inbetriebnahme der Verarbeitung abgeschlossen sein.
Es gibt keine Vorgaben, welche Abteilung oder Person innerhalb des Verantwortlichen die Folgenabschätzung durchzuführen hat. Es sollte jemand sein, der einerseits die Verarbeitung sehr gut kennt und andererseits Erfahrung mit Risikoanalysen hat.
Gibt es einen Datenschutzbeauftragten, dann ist er so früh als möglich zu konsultieren. Weiters sind Betroffenengruppen, sofern möglich, ebenfalls zu konsultieren. Dies könnten Verbraucherverbände (bei Konsumentenverarbeitungen), Betriebsräte (bei Mitarbeiterverarbeitungen) oder Patientenanweälte (bei Gesundheitsverarbeitungen) sein.
Am sinnvollsten ist eine projektbegleitende Datenschutzgruppe, bestehend aus dem Verarbeitungsverantwortlichen, einem Risikomanager, dem Datenschutzbeauftragten, einem Betroffenenvertreter und einem Vertreter der Geschäftsführung (die letztlich den zusätzlichen Aufwand verantworten muss). Auch ein externer Experte kann diese Folgenabschätzung begleiten oder sogar vollständig durchführen.
Wie ist die Folgenabschätzung durchzuführen?
Die DSGVO schreibt keine Methode verpflichtend vor, auch die Artikel-29-Gruppe gibt in ihrer Stellungnahme zur Folgenabschätzung keine Empfehlung ab, nennt aber einige (in Arbeit) befindliche methodische Ansätze.
Die größten Schwierigkeiten bereitet nach unseren Erfahrungen der verpflichtende Perspektiv-Wechsel, den die Folgenabschätzung vom Verantwortlichen verlangt. Er hat nicht seine Risken zu bewerten (dies ist Teil der Sicherheitsmaßnahmen gemäß Art. 32 DSGVO), sondern er hat zu bewerten, welche (nachteilige) Folgen seine Verarbeitung auf die Betroffenen hat.
Das Facebook-Geschäftsmodell verdeutlicht das Dilemma. Für den Verantwortlichen (Facebook) ist es höchst lukrativ und Teil des Geschäftsmodells Benutzerdaten für wissenschaftliche, politische oder marketingtechnische Analysen zu verkaufen. Hier besteht für Facebook kein Risiko. Für die Betroffenen besteht jedoch ein enormes Risiko auf Grund dieser verkauften Daten in ihrer politischen Meinung manipuliert zu werden, Informationen nur gefiltert zu erhalten oder bestimmte Produkte zu überhöhten Preisen angeboten zu bekommen. Der Weiterverkauf von Benutzerdaten, der bei Facebook erlaubt ist, muss daher einer Folgenabschätzung unterzogen werden.
Die ARGE DATEN hat ein Konzept entwickelt, dass sich an klassischen Risiko-Modellen orientiert und durch seinen systematischen Ansatz mit relativ geringem Aufwand zu sehr guten Ergebnissen führt. Das Verfahren ist besonders für kleine und mittlere Datenverarbeitungen geeignet.
SCHRITT I: Identifizieren ob Folgenabschätzung erforderlich ist
Dieser Schritt wird im Zuge der Dokumentation/Projektvorbereitung einer Verarbeitung erfolgen. Diese Dokumentation ist auch für das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) notwendig.
Checkliste Kandidaten Folgenabschätzung:
- Einsatz neue Technologien: zB heuristische Verfahren, statistische Bewertungsverfahren, biometrische Analysen, biometrische Identitätsfeststellung, CRM-Analysen, "Big-Data"-Analysen, Verfahren mit "hoher" False Aception Rate (FAR) oder "hoher" Fales Rejection Rate (FRR), ...
- Beobachten von Surf- oder Kaufverhalten unter Zuhilfenahme externer Datenquellen
- automatisiertes Generieren von Empfehlungen unter Zuhilfenahme externer Datenquellen
- besonders umfangreicher Betroffenenkreis oder besonders große Datenmengen je Betroffenen: zB alle Mitglieder einer Religionsgemeinschaft, "alle" Personen einer Gruppe, ...
- besondere Zwecke: zB Verarbeitungsergebnis hat weitreichende Konsequenzen, zB Job-Verlust, Verlust einer Berechtigung, Terminverlust, ...
- systematischer Einsatz von Profiling: Bonitätsbewertung, Kreditvergabe, ...
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten: zB Gesundheitsdaten, Religionsbekenntnis, genetische Daten, sexuelle Orientierung, ...
- umfangreiche Verarbeitung strafrechtlicher Verurteilungen und Straftaten
Treffen eine oder mehrere Kritierien zu, ist diese Verarbeitung ein Kandidat zur Folgenabschätzung
SCHRITT II: Vorhandensein eines "hohen" Risikos identifizieren
In diesem Schritt sollte die vollständige Liste der Verarbeitungstätigkeiten analysiert werden und festgestellt werden, wo Fehlverarbeitungen auftreten können
Checkliste Verarbeitungsschritte (Auswahl):
- Datenerfassung (Online-Formular, Papier-Formular, interne Eingabemaske, ...)
- Datenkorrektur (Antrag schriftlich, mündlich, telefonisch, interne Korrektur)
- Berechnungsverfahren (Scoringwert, Profiling, Vergleichs- oder Grenzwerte)
- Auswertung (fehlerhafte Datenzuordnung, ...)
- Veröffentlichung (Freigabe von Daten, ...)
- Fehlerhafte Ausdrucke (zB Etikettierung bei Medizinprodukten)
- Backup- und Restore (Backup funktioniert nicht, Medium defekt, falsche/veraltete Daten werden restored, ..)
- Löschen von Daten (unbeabsichtigtes Löschen, Löschen falsche Daten, ...)
- Datenzugriff (erwünscht/unerwünscht intern, durch Dritte, Malware, Hacking, ...)
- Datenübermittlung (Fehlzustellung, ...)
Diese Liste ist von der konkreten Verarbeitung abhängig und entsprechend zu ergänzen bzw. zu reduzieren.
Gibt es einen Verarbeitungsschritt, bei dem ein Fehler - unabhängig von der tatsächlichen Eintrittswahrscheinlichkeit - zu hohem Risiko für den Betroffenen führen kann, dann ist eine Folgenabschätzung tatsächlich zu machen.
Im Umkehrschluss gilt jedoch, können die Verarbeitungsschritte so gestaltet werden, dass kein hohes Risiko gegeben ist, muss keine Folgenabschätzung gemacht werden. Wesentlich ist jedoch, dass diese Risiko-Einschätzung ausreichend begründet und objektivierbar ist. Ein Außenstender sollte bei Kenntnis aller Fakten zum selben Ergebnis kommen.
Es kann daher sinnvoll sein, Verarbeitungsschritte so umzuplanen, dass eine Folgenabschätzung vermieden werden kann.
SCHRITT III: Schäden und Wahrscheinlichkeiten klassifizieren
Die DSGVO nennt in Erwägungsgrund (EW) 75 zahlreiche Schäden für die "Rechte und Freiheiten des Betroffenen", die bei fehlerhafter Datenverarbeitungen auftreten können.
Übersicht der wichtigsten Schadenskategorien:
- physischem, materiellem oder imateriellem Schaden
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- finanziellem Verlust
- Rufschädigung
- Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegende Daten
- wirtschaftlichem oder gesellschaftlichem Nachteil
- Verlust von Rechten und Freiheiten
- Kontrollverlust über die eigenen Daten
- falscher Bewertung der Person (zB im Zusammenhang mit Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben oder Interessen, Zuverlässigkeit, sonstigem Verhalten, ...)
Diese Schadenskategorien sind in Hinblick auf die geplante Verarbeitung zu quantifizieren und in Klassen einzuteilen. Die ARGE DATEN empfiehlt eine gerade Zahl von Klassen zu verwenden (optimal sind 4).
Wie die Quanitifzierung aussieht hängt sowohl vom Betroffenenkreis, als auch der Art des Schadens ab. So wird eine Fehlverarbeitung, die zu einer überhöhten Vorschreibung von 100,- Euro bei einem Sozialhilfeempfänger anders zu bewerten sein, als bei einem Unternehmer.
Keinesfalls sollte man auf die Idee kommen, überhaupt keinen Fehler zu akzeptieren, derartige Verarbeitungen gibt es nicht.
Beispiel Klassifizierung "Finanzieller Schaden"
Schadensklasse [SA] < 100,- EUR
Schadensklasse [SB] 100 bis 1.000,- EUR
Schadensklasse [SC] 1.000 bis 100.000 EUR
Schadensklasse [SD] > 100.000 EUR
Gleiches gilt für die Eintrittswahrscheinlichkeit eines Vorfalls (einer fehlerhaften Verarbeitung. Auch hier bewähren sich 4 Klassen.
Wahrscheinlichkeit des Eintritts
Häufigkeit [H1] < 1 mal pro Jahr
Häufigkeit [H2] < 1 mal pro Monat
Häufigkeit [H3] < 1 mal pro Woche
Häufigkeit [H4] > 1 mal pro Woche
SCHRITT IV: Risiko-Bewertung (Matching)
Auf Basis der Verarbeitungstätigkeiten (SCHRITT II) und der Schadens- und Wahrscheinlichkeitsklassifizierung (SCHRITT III) werden konkrete Szenarien identifiziert, bei denen für den Betroffenen "etwas schief gehen kann". Dies könnte fehlerhafte Datenerfassung + nachfolgende falsche Therapie, fehlerhaftes Scoring + nachfolgend falsche Kreditratenberechnung usw sein.
Dieser Matching-Prozess erfordert genaue Kenntnis der Verarbeitungsprozesse, aber auch Wissen über bisherige Abläufe und Gepflogenheiten. In vielen Fällen sind auch Erfahrungen aus der Branche oder vergleichbarer Branchen einzuholen. Hilfreich können dazu auch Vorgaben auf Grund von genehmigten gemeinsamen Verhaltensregeln (Art 40 DSGVO) sein.
Beispiel Risiko-Bewertung Erst-Anamnese Spital
- Verarbeitung: Patientenverwaltung
- Verarbeitungsschritt: Datenerfassung
- Bedrohung iS Art. 35 Abs. 1: unvollständige Gesundheitsdaten
- Schwachstelle(n): unübersichtliches / fehlerhaftes Formular, hektischer Betrieb, ungeeignetes Personal, unklare Vorgaben,
- Schadensklasse: Fehltherapie
- Ergebnis: in der Vergangenheit wurde festgestellt, dass 5 mal jährlich Allergien übersehen wurden und dies in einem Fall in der Therapie zu einem allergischen Schock führte
- Bewertung: [SC] / [H2] mit dem Ergebnis "nicht akzeptabel"
- Maßnahme: Erhebungsformulare werden umgestaltet, sodass nach den wichtigsten Allergien aktiv gefragt wird, Therapiefreigaben erfordern verpflichtend 4-Augen-Prinzip
- erwartetes Ergebnis: weniger als eine Fehlerhebung pro Jahr, nur mehr geringfügige Fehlbehandlungen
- Bewertung neu: [SA] / [H1] mit dem Ergebnis "akzeptabel"
Die Maßnahmen gemäß dieser Bewertungen werden im Design der Verarbeitung berücksichtigt und umgesetzt.
SCHRITT V: Evaluation
Vielfach wird übersehen, dass die DSGVO verpflichtend eine Evaluation der getroffenen Maßnahmen zur Risikominimierung vorsieht. In regelmäßigen Abständen, die ARGE DATEN empfiehlt zwischen 12 und 18 Monaten, sollte geprüft werden, ob die Bewertungsannahamen und getroffenen Maßnahmen auch tatsächlich stimmen. Allenfalls sind Nachbesserungen zu machen. Auch Vereinfachungen sind zulässig, wenn bestimmte Ereignisse nicht oder nicht so häufig wie angenommen eintreten.
Aufwand und Umfang einer Folgenabschätzung
Je nach Größe der Verarbeitungen, Zahl der Verarbeitungstätigkeiten, Zahl der Betroffenen, Komplexiität der Datensätze und Zahl der an der Verarbeitung beteiligten Personen wird der Umfang stark variieren. Auf Grund der Beratungspraxis der ARGE DATEN konnten folgende Größenordnungen identifiziert werden.
Online-Shop:
Ausgangslage: großer Kundenkreis, systematische Analyse des Nutzungsverhaltens, Integration von externen Datenmaterial einer US-Tracking-Firma
Zahl der Verarbeitungsschritte: 5-10
Zahl der Gefährdungen, für die eine Risiko-Bewertung erforderlich ist: < 10
Dauer der Analyse: etwa 10 PersonenTage
Umfang der Folgenabschätzung: < 10 Seiten A4
Wirtschaftsauskunftsdienst:
Ausgangslage: österreichweiter Auskunftsdienst mit mehr als 3 Mio. Personen, zahlreiche externe Datenquellen
Zahl der Verarbeitungsschritte: 5
Zahl der Gefährdungen, für die eine Risiko-Bewertung erforderlich ist: 30-40
Dauer der Analyse: etwa 20 PersonenTage
Umfang der Folgenabschätzung: < 20 Seiten A4
Patienteninformationssystem (Spital ein Standort):
Ausgangslage: mehr als 5.000 Patientn (inkl. ehemalige Patienten), mehr als 100 Mitarbeiter
Zahl der Verarbeitungsschritte: 10-20
Zahl der Gefährdungen, für die eine Risiko-Bewertung erforderlich ist: 20-100
Dauer der Analyse: etwa 30 PersonenTage
Umfang der Folgenabschätzung: etwa 40 Seiten A4
Der Gesamtaufwand hängt auch von der Erfahrung mit Risiko-Management ab. Wer Zertifizierungen oder Audits erfolgreich bestanden hat, hat auch bei der Folgenabschätzung einen "Wettbewerbsvorteil". Die ARGE DATEN bietet dazu Unterstützung.
Artikel-29-Muster einer Folgenabschätzung
Die Artikel-29-Datenschutzgruppe hat zu RFID-Anwendungen und Smart-Meter-Systemen Datenschutz-Folgenabschätzungen entwickelt. Diese können ebenfalls als Vorlagen oder zumindest Ideenbringer herangezogen werden.
Alternativen zur Folgenabschätzung
Zur Folgenabschätzung existieren keine Alternativen. Nur dort, wo kein hohes Risiko besteht, kann sie unterbleiben. Die Folgenabschätzung kann bei gesetzlich angeordneten Verarbeitungen unterbleiben, wenn parallel zum Gesetz eine Folgenabschätzung erfolgte.
mehr --> Verordnung Datenschutz-Folgenabschätzung (DSFA-V)
mehr --> Datenschutz-Folgenabschätzung - Verordnungsentwurf stiftet Ver...
mehr --> Stellungnahme der ARGE DATEN zur Datenschutz-Folgenabschätzung
andere --> https://derstandard.at/2000079056110/Schwerwiegende-Panne-bei-Brustkrebsvorsorge...
|
