Wann sollte ich meine Datenschutz-Folgenabschätzung veröffentlichen?

Bei Privacy Company sehen wir seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) einen Wandel in der Art von Arbeit, die unsere Kunden anfordern. Unternehmen haben oft die DSGVO-Verpflichtungen innerhalb des Unternehmens umgesetzt und unternehmen nun mehr Anstrengungen, um das erreichte Datenschutzniveau zu halten. Dazu gehört die Einrichtung eines "Plan-Do-Check-Act-Zyklus" für Datenschutz und Datensicherheit oder die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für ein neues System oder Verarbeitungstätigkeit (Artikel 35 DSGVO). Dieser Blog befasst sich mit der letztgenannten Verpflichtung, insbesondere mit der Veröffentlichung einer durchgeführten DSFA. Wir werden Ihnen über die Gründe für die Veröffentlichung einer DSFA berichten und Ihnen einige Tipps geben, wie Sie dies am besten tun können!

Was ist eine DSFA?

Die DSFA ist eine Möglichkeit, eine Verarbeitung zu analysieren, die ein hohes Risiko für die betroffene Person darstellen kann. Das gilt zum Beispiel Systeme, die die betroffene Person überwachen könnten oder die die Person dann automatisch analysieren ("Profiling"). Ihr Zweck ist es, den Schutz personenbezogener Daten bei der Entwicklung einer neuen Dienstleistung oder eines neuen Produkts in den Überlegungsprozess einzubeziehen. Dies ist eine Möglichkeit, die Anforderungen der DSGVO an Datenschutz durch Technikgestaltung bzw. "Privacy by Design" zu erfüllen. Die DSFA ist somit ein Mittel zur Verbesserung der Einhaltung der Datenschutzbestimmungen.

Die Ergebnisse der DSFA müssen vor allem einen Schwerpunkt auf die Auswahl der geeigneten Maßnahmen legen, um nachzuweisen, dass die Datenschutzbestimmungen bei der Verarbeitung personenbezogener Daten eingehalten werden. Auf diese Weise werden die hohen Risiken durch die Maßnahmen auf ein akzeptables Maß reduziert. Gelingt dies nicht und bleibt das Risiko zu hoch, muss sich eine Organisation an die Datenschutzbehörde wenden (siehe die "vorherige Konsultation" in Artikel 36 DSGVO).

Was ebenfalls über die DSFA zu sagen ist, ist, dass es sich nicht um eine statische Untersuchung handelt. Dies bedeutet, dass die DSFA geändert werden muss, wenn sich die Verarbeitung so weit ändert, dass sich auch die zuvor identifizierten Risiken ändern. Auch wenn keine nennenswerten Änderungen auftreten, ist es ratsam, regelmäßig (z.B. alle drei Jahre) zu überprüfen, ob die DSFA noch auf dem neuesten Stand ist.  

Warum eine DSFA veröffentlichen?

Viele unserer Kunden stehen vor der Frage, ob sie ihre DSFA veröffentlichen sollten. Bei der Beantwortung dieser Frage sind eine Reihe von Faktoren wichtig, die Ihnen helfen können, diese Entscheidung zu treffen.

Die Veröffentlichung Ihres DSFA-Berichts ist nach der DSGVO nicht obligatorisch. Selbstverständlich sind Sie trotzdem grundsätzlich verpflichtet, Informationen zur Verfügung zu stellen, indem Sie die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten informieren (Artikel 5 Absatz 1 Buchstabe a) und Artikel 12 bis 14 DSGVO).

Dennoch kann es im Interesse der Transparenz sinnvoll sein, die DSFA - oder eine Zusammenfassung davon - zu veröffentlichen. Die Durchführung einer DSFA und die Information darüber stärkt oft das Vertrauen des Einzelnen in die Datenverarbeitung und damit in die Organisation. Dies ist ein großer Vorteil für die Organisation. Einige Organisationen legen sich daher im Rahmen von Ethikstrategien strengere Regeln auf, um die Verarbeitung personenbezogener Daten noch transparenter zu gestalten, als es die DSGVO verlangt.

Es kann auch sinnvoll sein, eine DSFA öffentlich zu machen, damit auch andere Organisationen davon profitieren können. DSFAs erfolgen oft für den Einsatz von Systemen, die natürlich von viel mehr Organisationen genutzt werden. Durch die Möglichkeit, auch DSFAs anderer Organisationen zu nutzen, muss das Rad nicht immer neu erfunden werden. Es ist auch möglich, dem Autor der ursprünglichen DSFA Feedback zu geben, damit die DSFA verbessert werden kann. Auf diese Weise kann die Veröffentlichung von DSFAs zu einer generellen Verbesserung des Datenschutzniveaus über meine eigene Organisation hinaus führen.

Häufig steckt in einer DSFA viel Arbeit, so dass es sich möglicherweise nicht richtig anfühlt, dieses Know-how frei verfügbar zu machen. Wenn Sie es vorziehen, den DSFA-Bericht nicht für andere zu veröffentlichen, aber die Ergebnisse anderen Organisationen der Branche zugänglich machen wollen, ist das auch möglich. Vereinbaren Sie z.B., dass Sie eine DSFA zu System X und eine andere Organisation zu Projekt Y durchführen, damit Sie dann das Wissen austauschen können.

Wie kann man eine DSFA öffentlich machen?

Wenn Sie sich entscheiden, eine DSFA zu veröffentlichen, ist es notwendig, eine Reihe von Maßnahmen zu ergreifen - nicht nur die im Bericht genannten Maßnahmen zur Verringerung der Risiken für die Privatsphäre, aber besonders Maßnahmen zum Schutz Ihrer vertraulichen Geschäftsinformationen.

Bevor Sie die DSFA veröffentlichen, müssen alle vertraulichen Daten herausgenommen werden. Zum Beispiel Sicherheitseinstellungen, die Sie vorgenommen haben, die ihre Funktion (teilweise) verlieren, wenn sie öffentlich bekannt werden (siehe auch "Kerckhoffs‘ Prinzip"). Oder Informationen darüber, wie Sie das System, das Ihr "Geheimrezept" für die Nutzung bestimmer Dienste offenlegt, gezielt eingerichtet haben. Denken Sie auch an die Informationen des Lieferanten, die Sie erhalten haben, für die Sie keine Berechtigung haben, sie zu veröffentlichen. Aber auch die Namen der Hersteller der DSFA, insbesondere wenn diese extern sind und es Vereinbarungen über geistiges Eigentum gibt, müssen geändert werden.

Sie können auch einen Schritt weiter gehen und eine Vorlage für die Durchführung einer DSFA auf einem bestimmten System oder Projekt erstellen. In diesem Fall werden Sie alle vertraulichen Daten extrahieren, aber Sie werden auch konkret angeben, welche Institute welche Risiken haben. Auf diese Weise kann der Benutzer der Vorlage die DSFA schnell und einfach ausführen.

Was können Sie mit einer öffentlichen DSFA anstellen?

Sie haben die DSFA öffentlich gemacht, und jetzt? Nun, die Überlegungen und Vorteile für die Veröffentlichung wurden bereits oben angesprochen. Aber wenn wir es aus der Perspektive von jemandem betrachten, der Ihre öffentliche DSFA gefunden hat, gibt es noch ein paar weitere Punkte, die man diskutieren kann.

Die Verwendung der öffentlichen DSFA, z.B. durch jemanden, der ein ähnliches System verwendet, kann sehr nützlich sein. Bitte beachten Sie die Systembeschreibung und die Verarbeitung personenbezogener Daten, da dies für die öffentliche DSFA sehr anders sein kann als für Ihre persönliche Situation. Deshalb ist es wichtig, klarzustellen, was in den Anwendungsbereich der DSFA fällt und was nicht, damit die (Wieder-)Nutzer das Wesentliche nicht übersehen. Überprüfen Sie daher sorgfältig die öffentliche DSFA, werden Sie sich über die Unterschiede klar und entscheiden Sie, ob Sie die Risikobewertung und -Maßnahmen übernehmen können oder ob Sie hier eventuell Anpassungen vornehmen müssen.

Schlussfolgerung

Ihre DSFA muss nicht veröffentlicht werden, kann aber sowohl Ihrer Organisation als auch anderen helfen, die DSGVO richtig umzusetzen. Bei der Veröffentlichung sollten Sie jedoch sehr genau auf vertrauliche Informationen achten und bei der Verwendung einer öffentlichen DSFA prüfen, ob Sie die Schlussfolgerungen so übernehmen können oder ob Sie sie noch ändern müssen. Auf diese Weise können wir alle zu einer datenschutzgerechten Welt beitragen.

Author image
Jill Baehring
Datenschutzberaterin und externe DSB bei Privacy Company