Was ist eine PIA? Was ist eine DSFA? - die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO

BayLDA veröffentlicht Kurzpapier zur Datenschutz-Folgenabschätzung (DSFA)

Kurztext

screenshot (23.3.2017, 9:00 Uhr) von https://www.lda.bayern.de/media/baylda_ds-gvo_18_privacy_impact_assessment.pdf
screenshot (23.3.2017, 9:00 Uhr) von https://www.lda.bayern.de/media/baylda_ds-gvo_18_privacy_impact_assessment.pdf

Art. 35 DSGVO

Art. 35 DSGVO schreibt die Datenschutz-Folgeabschätzung vor; viele Unternehmen fragen sich, nach welchen Gesichtspunkten die Verarbeitung analysiert und beschrieben werden muss, um den Anforderungen der DSGVO in diesem Punkt gerecht zu werden.

 

Wann ist ein "hohes Risiko" für die "Rechte und Freiheiten natürlicher Personen" gegeben?

 

Was muss ich tun, um überhaupt einschätzen zu können, welches (auch geringe Risiko) mit der Verarbeitung von personenbezogenen Daten verbunden ist?

 

 


BayLDA

Das Bayerische Landesamt für den Datenschutz hat am 21.3.2017 dazu eine "Kurzinformation" herausgegeben.

 

Die Kurzinformation stellt dar, dass eine Risikoanalyse durchzuführen ist, die u.a. in ErwG 84 DSGVO genannt ist. Dort bezieht sich die DSGVO darauf, dass "insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos [der Rechte und Freiheiten natürlicher Personen] evaluiert werden" müssen.

 

Bei der "Bewertung des Risikos" kann auf ErwG 76 DSGVO zurückgegriffen werden:

Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.

 

 

Quelle: https://de.wikipedia.org/wiki/Risikomatrix#/media/File:Risikomatrix_wiki.jpg

Im Sinne einer Risikomatrix, werden Eintrittswahrscheinlichkeit unter Berücksichtigung des Bedrohungspotentials (Risikoquelle, Angreifer) zu einer möglichen Auswirkung (Schaden) in Bezug gesetzt, und so ergibt sich eine "Risikoklasse", die vorab definiert wird.

Das BayLDA geht von 3 Risikoklassen aus:

./. geringes Risiko  <>  Risiko  <>  hohes Risiko ./.

 

Betrachtungspunkt für die Frage der Risikoklassen ist der (physische, materielle oder immaterielle) Schaden für die betroffene Person, da es sich um die Frage eines "hohen Risikos für die Freiheiten und Rechte natürlicher Personen" handelt.

 

Die Frage, ob die Organisation mit Konsequenzen bei einer Datenschutzverletzung zu rechnen hat, z.B. einer Sanktion (Geldbuße), kann für die Motivation bedeutend sein, ist aber in der PIA/DSFA nicht relevant.

 

Auch die Frage des "Schadens" wird in der Kurzinformation erläutert, und dabei auf ErwG 75 DSGVO Bezug genommen.

 

Dort findet sich eine beispielhafte Aufzählung von möglichen Schäden:

  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzieller Verlust
  • Rufschädigung
  •  Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten
  • unbefugte Aufhebung der Pseudonymisierung 
  • erheblicher wirtschaftlicher oder gesellschaftlichen Nachteilen

Die Minimierung des festgestellten Risikos erfolgt durch TOMs (technische oder organisatorische Maßnahmen); auch hier bietet die DSGVO Anhaltspunkte welcher Art TOMs sein können, nämlich

 

Datensicherheitsmaßnahmen gem. Art 32 DSGVO, wie z.B.

  • Pseudonymisierung (Abs (1) lit a) oder
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste (Abs (1) lit b).
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Der Grundsatz der Integrität und Vertraulichkeit der personenbezogenen Daten, der in Art 5 Abs (1) lit. f DSGVO festgelegt wird, wird dadurch konkretisiert.