Datenschutz-Folgen-abschätzung (DSFA): Warum brauchen wir sie und wie führt man eine durch?

,

Der Datenschutz läuft Gefahr, ein weiteres Modewort zu werden. Man hört es hier und da, nimmt es aber nicht mehr ernst. Tatsächlich umfasst der Datenschutz eine Vielzahl von Maßnahmen, die Unternehmen, insbesondere in der Finanzbranche und im E-Commerce, beachten müssen.

Wir alle haben gelernt, dass die persönlichen Daten, die jedes Unternehmen sammelt, vor der Preisgabe geschützt werden müssen. Wir haben auch gelernt, dass es eine neue staatliche Behörde gibt, die über den Vollzug des Gesetzes wacht. Aber was bedeutet das in der Praxis?

Die Europäische Union hat die sogenannte General Data Protection Regulation (GDPR) eingeführt, die jedes Mitgliedsland in Form eines lokalen Gesetzes umsetzen soll. In Deutschland ist ein solches Gesetz das Bundesdatenschutzgesetz. Es wurde nach Inkrafttreten der GDPR am 25. Mai 2018 erneuert. Die alte Version enthielt bereits eine DSFA-ähnliche Maßnahme, die intern durchgeführt werden musste. 

Das neue Bundesdatenschutzgesetz machte die DSFA zur Pflicht.

„Eine DSFA ist immer dann erforderlich, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt“

heißt es auf der offiziellen Website der Europäischen Kommission. 

Aber Moment, was hat dies mit Rechten und Freiheiten zu tun?

Der Grund ist, dass die Daten, die Banken, Online-Shops, Krankenhäuser oder auch öffentliche Verkehrsbetriebe sammeln, manchmal zur Profilerstellung — Profiling — verwendet werden. Profile helfen, Kunden und Patienten besser zu verstehen und ermöglichen es Unternehmen und Institutionen, einen besseren Service anbieten zu können. 

Doch die Klassifizierung von natürlichen Personen hat in der Regel einen schlechten Beigeschmack. 

In der Realität haben viele Unternehmen begonnen, das Profiling dazu zu nutzen, Kunden einzuschränken und sogar zu diskriminieren. Der typischste – aber am wenigsten schädliche – Fall ist die Ablehnung von Kreditanträgen auf Basis von einem Scoring (ein quantitatives Profiling).

Solche Implikationen – und Profiling ist nur eine davon – sind genau die Gründe, warum personenbezogene Daten als sensibel gelten und besonderen Schutz benötigen. Die tatsächlichen Risiken, die mit dem Besitz solcher sensiblen Daten verbunden sind, müssen von jedem Unternehmen individuell bewertet und in eine DSFA aufgenommen werden.

Die typischen Risiken sind:

  • böswillige Cyber-Attacken
  • unbefugter Zugriff
  • menschliche Fehler

Darüber hinaus muss jedes Unternehmen in seiner DSFA die Erhebung personenbezogener Daten gut begründen, ebenso wie die Methoden der Datenverarbeitung darstellen, die auf diese Daten angewendet werden. 

Schließlich muss die DSFA durch eine detaillierte Beschreibung von Datenschutzmaßnahmen ergänzt werden. Zum Beispiel:

  • Sicherheits- und Zugriffsrechte-Matrix
  • physikalischer Schutz der Hardware
  • Firewalls
  • Schutzmaßnahmen für den Fernzugriff (Zwei-Faktor-Authentifizierung, etc.)
  • Verschlüsselungsprotokolle

Dies alles muss einem zuständigen staatlichen, regionalen oder lokalen Datenschutzbeauftragten vorgelegt und von diesem genehmigt werden. 

Ein weit verbreitetes Missverständnis über DSFAs ist, wie oft diese Überprüfung durchgeführt werden sollte. Ein DSFA ist nicht auf die Eröffnung eines neuen Unternehmens beschränkt. Sie sollten jedes Mal eine DSFA ausfüllen und erneut einreichen, wenn Sie ein neues Projekt beginnen, das dazu führt, dass Sie personenbezogene Daten in großem Umfang sammeln. 

Dies bedeutet, dass Sie ein neues DSFA-Verfahren starten müssen, wenn Sie eine neue Marketing-Kampagne beginnen, bei der eine neue Art des Kunden-Trackings eingeführt wird. Ein rechtlich erlaubter Umweg ist die Verwendung von DSFAs, die Sie für Ihre früheren Projekte erstellt haben und die sich auf die gleiche Art von personenbezogenen Daten beziehen. Vorausgesetzt, dass die Schutzmaßnahmen auch für den neuen Fall geeignet sind.

Die DSFA muss ein Ergebnis von Teamarbeit sein. Wie sich aus dem gleichen Gesetz ergibt, ist jedes Unternehmen verpflichtet, einen Datenschutzbeauftragten zu haben. Er oder sie überwacht aber eher das DSFA-Verfahren und berät das Team bei Bedarf. Der Datenschutzbeauftragte spielt eine wichtigere Rolle vor und nach der Genehmigung der DSFA durch die zuständigen Behörde. 

Der Datenschutzbeauftragte kann Schulungen und weitere Beratungen für alle Mitarbeiter im Unternehmen anbieten. Er oder sie ist auch Ansprechpartner für die externe Kommunikation zum Thema Datenschutz. Er bearbeitet Anfragen von Betroffenen, aber auch Anfragen von Behörden. 

Der Datenschutzbeauftragte ist noch kein eigenständiger Beruf. Es ist schwierig, einen geeigneten Kandidaten allein durch eine Stellenausschreibung zu finden. Möglicherweise benötigen Sie die Hilfe einer professionellen Personalberatung. Nehmen Sie Kontakt mit JCFINCH auf, um Ihr gewünschtes Kandidatenprofil zu besprechen: Vielleicht haben wir eine interessante Person in unserer Datenbank!