Zeitpunkt und Durchführung
Eine Datenschutz-Folgenabschätzung ist zeitlich vor dem Beginn der betreffenden Verarbeitungsvorgänge durchzuführen. Auch bereits bestehende Verarbeitungsvorgänge können unter die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung fallen.
Da eine Datenschutz-Folgenabschätzung meist nicht ad hoc in wenigen Tagen erstellt werden kann, muss sie rechtzeitig, beispielsweise unterstützt durch ein allgemeines Datenschutz-Managementsystem, begonnen werden.
Die formellen Anforderungen an die Durchführung einer Datenschutz-Folgenabschätzung ergeben sich aus der Datenschutz-Grundverordnung, speziell aus Artikel 35 sowie den Erwägungsgründen 84, 90 bis 93.
So kann beispielsweise auf das von den unabhängigen Datenschutzbehörden von Bund und Ländern entwickelte Standard-Datenschutzmodell zurückgegriffen werden. Die jeweils aktuellsten Fassungen der verabschiedeten Dokumente kann beim LfDI Mecklenburg-Vorpommern heruntergeladen werden.
Eine Datenschutz-Folgenabschätzung ist kein einmaliger und dann abgeschlossener Vorgang. Sollten sich zum Beispiel neue Risiken ergeben, die Bewertung bereits erkannter Risiken ändern oder wesentliche Änderungen im Verfahren ergeben, die in der Datenschutz-Folgenabschätzung bisher nicht berücksichtigt wurden, so ist die Datenschutz-Folgenabschätzung zu überprüfen und ebenso anzupassen. Um dies zu garantieren, wird ein stetiger, sich immer wieder wiederholender Prozess der Überprüfung und Anpassung empfohlen:
Zusammenstellung des Datenschutz-Folgenabschätzung-Teams
Eine Datenschutz-Folgenabschätzung kann im Allgemeinen nur von einem interdisziplinären Team erstellt werden, das Kompetenzen im Bereich Datenschutz, Risikoermittlung und Fachprozesse mitbringt. Der oder die Datenschutzbeauftragte steht diesem Team während des gesamten Prozesses beratend zur Seite. Es kann sinnvoll oder notwendig sein, zum Beispiel Auftragsverarbeiter oder Hersteller von IT-Systemen ebenfalls mit einzubeziehen.
Prüfplanung
Da eine Datenschutz-Folgenabschätzung meist ein komplexer Prozess ist, der viele Mitwirkende einbindet, ist eine Prüfplanung (zum Beispiel mit Methoden des Projektmanagements) empfehlenswert.
Festlegung des Beurteilungsumfangs (Scope)
Die betrachteten Verarbeitungsvorgänge sind von anderen (Geschäfts-)Prozessen abzugrenzen und ausführlich und abschließend mit allen Datenflüssen zu beschreiben. Wesentlich ist es, die beabsichtigten Zwecke der Verarbeitungsvorgänge festzuhalten.
Identifikation und Einbindung von Akteuren und betroffenen Personen
Die Akteure und betroffenen Personen sind zu identifizieren. Bei der Durchführung der Datenschutz-Folgenabschätzung zieht der Verantwortliche den Datenschutzbeauftragten zurate (Artikel 35 Absatz 2 DSGVO). Gegebenenfalls holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein (Artikel 35 Absatz 9 DSGVO). Dies umfasst beispielsweise die Einbindung von Gremien der Mitbestimmung, zum Beispiel des Personalrats.
Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf ihren Zweck
Die im vorigen Schritt beschriebenen Verarbeitungsvorgänge werden ausgehend von den mit ihnen verfolgten Zwecken daraufhin bewertet, ob der durch sie bewirkte Eingriff in die Rechte und Freiheiten der betroffenen Person im Verhältnis zu dem angestrebten Zweck steht, ob sie zum Erreichen der Zwecke tatsächlich notwendig sind oder ob alternative Vorgehensweisen zur Verfügung stehen, die in die Rechte und Freiheiten der betroffenen Person weniger stark eingreifen. Gegebenenfalls nimmt der Verantwortliche eine Anpassung der Verarbeitungsvorgänge vor, zum Beispiel durch Beschränkung der zu verarbeitenden Daten oder durch Änderung der beteiligten Akteure oder eingesetzten Technologien.
Bestimmung der Rechtsgrundlagen
Aufbauend auf dem vorigen Schritt können sodann die Rechtsgrundlagen für die zu bewertenden Verarbeitungsvorgänge bestimmt und dokumentiert werden.
Modellierung der Risikoquellen
Die Quellen des Risikos für die Rechte und Freiheiten natürlicher Personen müssen identifiziert werden. Insbesondere ist zu bestimmen, welche Personen motiviert sein könnten, die Verarbeitungsvorgänge und die hierin verarbeiteten Daten in unrechtmäßiger Weise zu nutzen, und welches ihre Beweggründe und möglichen Ziele sein können. Anhand dessen können die damit zusammenhängenden Eintrittswahrscheinlichkeiten ermittelt werden.
Kurzpapier: Risiko für die Rechte und Freiheiten natürlicher Personen
(PDF-Datei auf der Website der Datenschutzkonferenz)
Risikobeurteilung
Aufbauend auf den vorherigen Schritten wird bestimmt, ob in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Potenzielle Schäden können physischer, materieller oder immaterieller Art sein. Ihre Schwere sowie die jeweilige Eintrittswahrscheinlichkeit sind dabei zu berücksichtigen (Erwägungsgrund 75 f.).
Auswahl geeigneter Abhilfemaßnahmen
Die ermittelten Risiken müssen durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen) eingedämmt werden. Eine Auswahl sowie Planung der Umsetzung der Maßnahmen findet statt. Dabei wird den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen. Verbleibende Restrisiken werden ermittelt und dokumentiert.
Erstellung des Datenschutz-Folgenabschätzungsberichts
Der Datenschutz-Folgenabschätzungsbericht enthält gemäß Artikel 35 Absatz 7 DSGVO jedenfalls die systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, die Beschreibung und Beurteilung der Risiken sowie der Abhilfemaßnahmen zur Risikoeindämmung. Der Bericht ist um eine Darstellung der Restrisiken samt Entscheidung über den Umgang mit diesen zu ergänzen. Er kann sich dabei an den hier dargestellten Phasen orientieren. Der Datenschutz-Folgenabschätzungsbericht dient ferner als Baustein einer umfassenden Dokumentation zur Umsetzung der in Artikel 5 Absatz 2 DSGVO normierten Rechenschaftspflicht. Es ist zu prüfen, inwieweit Teile des Datenschutz-Folgenabschätzungsberichts im Sinne einer erhöhten Transparenz für die betroffenen Personen veröffentlicht werden sollen.
Wichtig: Ergibt eine Datenschutz-Folgenabschätzung, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss der Verantwortliche nach Artikel 36 DSGVO vor der Verarbeitung die zuständige Aufsichtsbehörde, also die Sächsische Datenschutzbeauftragte, konsultieren.
Ergibt die Datenschutz-Folgenabschätzung kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen oder wurde das Konsultationsverfahren (gegebenenfalls unter Auflagen zu weiteren technisch-organisatorischen Maßnahmen) durchlaufen, schließen sich weitere Phasen zur Ausführung der Abhilfemaßnahmen und zur Überwachung an.
Diese folgenden Phasen sollten nicht lediglich linear durchlaufen werden, sondern eine Rückkoppelung der jeweiligen Ergebnisse im Sinne eines fortlaufenden Prozesses ermöglichen. Beispielsweise können durch eine Maßnahme weitere Verarbeitungsvorgänge nötig werden, für die wiederum etwaige Risiken zu betrachten sind.
Umsetzung der Abhilfemaßnahmen
Bevor die geplante Datenverarbeitung eingesetzt wird, müssen die für die Eindämmung des Risikos geeigneten Abhilfemaßnahmen (insbesondere technische und organisatorische Maßnahmen) umgesetzt sein. Vorher darf die Verarbeitung personenbezogener Daten nicht stattfinden. Sofern sich bei der Umsetzung herausstellt, dass geplante Maßnahmen nicht (wirksam) realisiert werden können, müssen andere geeignete Maßnahmen ausgewählt, die Restrisikobewertung angepasst oder die Verarbeitungsvorgänge insgesamt angepasst werden, so dass sie den Anforderungen der Datenschutz-Grundverordnung genügen.
Test der Abhilfemaßnahmen
Nachdem Abhilfemaßnahmen umgesetzt wurden, müssen sie auf ihre Wirksamkeit hin getestet werden. Möglicherweise zeigt sich bei der Umsetzung der Maßnahmen, dass weitere Risiken bestehen, die ebenfalls zu behandeln sind.
Dokumentation: Nachweis über die Einhaltung der Datenschutz-Grundverordnung
Gemäß Artikel 5 Absatz 2 DSGVO hat der Verantwortliche eine umfassende Dokumentations- und Rechenschaftspflicht, durch die die Einhaltung der Datenschutz-Grundverordnung insgesamt nachgewiesen werden soll. Der Datenschutz-Folgenabschätzungsbericht und eine Bestätigung der Wirksamkeit der umgesetzten Maßnahmen dienen als Bausteine zur Erfüllung dieser Pflicht.
Überprüfung und Audit der Datenschutz-Folgenabschätzung
Um eine ordnungsgemäße Durchführung sicherzustellen, kann es sinnvoll sein, den Datenschutz-Folgenabschätzungsbericht von einem unabhängigen Dritten überprüfen zu lassen. Auch könnte der Datenschutzbeauftragte, der gemäß Artikel 35 Absatz 2 DSGVO sowieso einzubeziehen ist, die Datenschutz-Folgenabschätzung abschließend prüfen und das Ergebnis der Leitungsebene des Verantwortlichen mitteilen.
Überwachung und Fortschreibung
Die Datenschutz-Folgenabschätzung ist kein strikt linearer oder abgeschlossener Prozess. Vielmehr muss die Einhaltung der Datenschutz-Grundverordnung während der gesamten Dauer der Verarbeitungsvorgänge fortlaufend überwacht werden. Hierfür bietet sich ein Datenschutz-Managementsystem an. Spätestens wenn sich das mit der Verarbeitung verbundene Risiko ändert, muss erneut eine Datenschutz-Folgenabschätzung durchgeführt werden.
