Datenschutzfolgenabschätzung: DSFA richtig durchführen mit neuem Template?

Der Europäische Datenschutzausschuss hat ein lange erwartetes Muster für die Durchführung einer Datenschutzfolgenabschätzung veröffentlicht. Es handelt sich noch um keine finale Version, sondern um einen Entwurf zur öffentlichen Konsultation, sodass sich durchaus noch Änderungen ergeben können.

Datenschutzfolgenabschätzungen (DSFA) sind in Art. 35 DSGVO vorgeschrieben, soweit es sich um eine Verarbeitung personenbezogener Daten handelt, die besondere Risiken birgt. Die konkreten Anforderungen an eine zufriedenstellende DSFA sind jedoch nicht eindeutig festgelegt. Die nationalen Aufsichtsbehörden haben durchaus Orientierungshilfen veröffentlicht, aber diese sind unverbindlich, teilweise im Detail widersprüchlich oder erweisen sich als wenig praktikabel. Bislang sind weder Gerichtsentscheidungen noch Bußgelder bekannt geworden, in denen von Unternehmen durchgeführte Datenschutz-Folgenabschätzungen daraufhin bewertet wurden, ob sie hinreichend oder korrekt durchgeführt waren. Vor diesem Hintergrund fehlte es Unternehmen an klarer Orientierung. Sie können nicht sicher sein, ob der Hafen, den sie bildlich gesprochen mit ihrer gewählten Herangehensweise ansteuerten, tatsächlich ein sicherer ist.  

DSFA-Template: Verfehlte Chancen durch eine sehr lange Checkliste 

Hier soll das neue Muster die Navigation erleichtern. Es präsentiert sich als kleinteilige Checkliste mit zahlreichen Einzelfragen. Das Muster umfasst 19 Seiten und wird im Word-Format angeboten. Da der angebotene Platz für die Antworten nicht auf den zu erwartenden Umfang der Antworten abgestimmt ist, werden Unternehmen nicht darum herumkommen, die Checkliste in eine eigene Darstellung zu überführen oder in eine passende Software zu übertragen. Viele der in der Checkliste aufgeführten Fragen, etwa zur Rechtsgrundlage oder zur Schwellenwertanalyse, sollten jedoch bereits im Vorfeld der eigentlichen DSFA geklärt sein und stellen eine Dokumentation des Bestehenden dar. Durch diese Struktur besteht die Gefahr, dass eine Organisation viel Zeit für redundante Dokumentation verwendet und dabei die Chancen verpasst, die auf die konkreten Risiken fokussierte DSFA den Organisationen bietet. Denn eine gelungen DSFA beschränkt sich nicht darauf, eine lästige Compliance-Pflicht zu erfüllen, sondern bietet auch die Möglichkeit, intern die Transparenz für kritische Verarbeitungen zu erhöhen. Durch die Beteiligung unterschiedlicher Stakeholder können neue Perspektiven auf die bestehenden Risiken gewonnen werden. 

Die Checkliste wird von einem „Explainer“ begleitet, der zu jedem Abschnitt zusätzliche Erläuterungen liefert. So wird beispielsweise erklärt, wie Begriffe wie „Risikoquelle“ zu verstehen sind und auf welche bestehende Orientierungshilfe der jeweiligen Aufsichtsbehörden zurückgegriffen werden kann. 

Keine Antworten auf die wichtigsten Herausforderungen 

Auch wenn das Template dazu beitragen wird, Prozesse zu standardisieren, Risikobewertungen vergleichbarer zu machen und Unsicherheiten zu reduzieren, bleiben entscheidende Fragen unbeantwortet. Dies betrifft insbesondere die Methodik der Risikoeinstufung. Statt ein konkretes Verfahren vorzugeben oder zu empfehlen, verlangt das Template lediglich, dass die verwendete Methode beschrieben wird. Die Operationalisierung der Risiken als größte konzeptionelle Herausforderung bei der Ausgestaltung eines DSFA‑Prozesses bleibt damit weitgehend unberührt. 

Begrüßenswert ist hingegen die klare Unterscheidung zwischen dem inhärenten Risiko einer Verarbeitung („Bruttorisiko“) und dem Restrisiko nach Berücksichtigung der risikomindernden Maßnahmen („Nettorisiko“). Insbesondere die einflussreiche Methodologie der französischen Aufsichtsbehörde CNIL sieht diese Differenzierung nicht vor. Insgesamt bleibt das Template jedoch hinter bereits erreichten Standards zurück, etwa bei der Beschreibung konkreter Bedrohungsszenarien. 

Einige Fragen weisen nur geringen praktischen Wert auf. So zielt Frage 2.2.a auf die Speicherfristen für die personenbezogenen Daten ab. Die in dieser Frage skizzierte Löschübersicht lässt aber wesentliche Merkmale eines funktionierenden Löschkonzepts außer Acht, da die Auslöser der aufzuführenden Löschfristen nicht berücksichtigt werden. Erfahrungsgemäß führen derartige verkürzte Fragen zu unnötigem Abstimmungsbedarf zwischen alle Beteiligten und verzögern die Fertigstellung.  

Allerdings durchläuft das Template derzeit noch eine Phase der öffentlichen Konsultation. Bis Juni können Kritikpunkte und Verbesserungsvorschläge eingebracht werden. Trotz aller Kritik bleibt also Raum für Optimismus. 

Es braucht weiterhin Lotsen an Bord 

Um im eingangs verwendeten Bild zu bleiben, lässt sich vorläufig bilanzieren, dass sich das neue DSFA‑Muster als hilfreicher Kompass erweist. Es zeigt in die richtige Richtung und hilft, grobe Fehler zu vermeiden. Die eigentliche Navigation durch das anspruchsvolle Fahrwasser des DSFA‑Prozesses bleibt jedoch den Unternehmen selbst überlassen. Ohne kompetente Lotsen in der Datenschutzorganisation wird könne Unternehmen auch unter Verwendung des neuen Templates schnell Schiffbruch erleiden. 

Suchen Sie sichere Wege durch die Untiefen der Datenschutzfolgenabschätzung, haben Sie Fragen zu diesem Beitrag oder benötigen Sie rechtliche Unterstützung im Bereich Datenschutz? Nehmen Sie gerne über das Kontaktformular Verbindung mit uns auf. 

Möchten Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht und relevante Entscheidungen auf dem Laufenden bleiben? Abonnieren Sie unseren Newsletter und erhalten Sie praxisrelevante Analysen direkt in Ihr Postfach.