Datenschutzfolgenabschätzungen und Schwellwertanalyse im Fokus aufsichtsrechtlicher Prüfung
In der modernen Datenlandschaft, in der personenbezogene Daten einen unschätzbaren Wert darstellen, sind Schwellenwertanalysen und Datenschutzfolgenabschätzungen (DSFA) ein unverzichtbares Instrument zur Sicherstellung des Datenschutzes. Doch trotz ihrer zentralen Rolle und gesetzlichen Notwendigkeit stoßen DSFAs häufig auf Widerstand und Unbehagen innerhalb von Organisationen. Die Durchführung dieser Bewertungen wird oft als komplex, ressourcenintensiv und bürokratisch empfunden. Dennoch sind DSFAs von entscheidender Bedeutung, um die Privatsphäre der betroffenen Personen zu schützen und dazu beitragen, Risiken für die Rechte und Freiheiten von betroffenen Personen zu identifizieren, zu bewerten und zu minimieren.
Die DSGVO fordert in bestimmten Fällen explizit die Durchführung von DSFA s, insbesondere wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Durch Schwellenwertanalysen können Unternehmen frühzeitig feststellen, ob eine geplante Datenverarbeitung eine DSFA erfordert. Dies hilft, potenzielle Datenschutzrisiken zu erkennen und zu bewerten, bevor sie zu einem tatsächlichen Schadenseintritt führen. Durch mitigierende Maßnahmen können diese Risiken in Folge gesenkt werden.
Aufsichtsbehörden kennen bei fehlender DSFA keinen Spaß
Dass Aufsichtsbehörden das Thema Datenschutzfolgenabschätzung, als Königsdisziplin im Datenschutz ernst nehmen, zeigt nicht nur die laufende Prüfung des LDA Bayern zum Thema „Schwellwertanalyse von Verarbeitungstätigkeiten“, sondern dass diese in Ihrem Jahresbericht 2023 bereits angekündigt hat, dass diesem Thema bei unzureichenden Antworten durch die überprüften Unternehmen weiter nachgegangen wird.
Zudem zeigen auch Bußgelder der europäischen Aufsichtsbehörden, welche bei fehlenden DSFAs erlassen wurden, dass dieses Thema bei Aufsichtsbehörden ernst genommen wird.
Beispiele:
- Bußgeld gegen DISCORD INCa. wegen mangelnder DSFA in Höhe von 800.000 EUR
- Bußgeld gegen MERCADONA, S.A. u.a. wegen mangelnder DSFA in Höhe von 520.000 EUR
- Bußgeld gegen COSMOTE ΚΙΝΗΤΕΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΕΣ Α.Ε. u.a. wegen fehlerhaften DSFA in Höhe von 850.000 EUR
Umsetzung im Unternehmen
DSFAs sind technisch anspruchsvoll und verlangen ein tiefes Verständnis der Datenverarbeitungsprozesse innerhalb einer Organisation. Das Erstellen einer vollständigen und genauen Analyse kann für viele Unternehmen überwältigend sein, insbesondere wenn sie nicht über die notwendigen internen Ressourcen verfügen. Das Erfordernis, verschiedene Abteilungen und Experten, wie IT-Spezialisten, Juristen und Datenschutzbeauftragte, einzubeziehen, macht den Prozess noch komplexer und kostspieliger.
Umso wichtiger ist es Organisationen und operativen Fachbereichen die richtigen Werkzeuge an die Hand zu geben, damit diese diesen gesetzlichen Pflichten möglichst gut und effizient nachkommen können.
Erster Baustein ist hierbei ein etabliertes Vorgehen auf Ebene der Schwellwertanalyse.
Prüfschritte innerhalb einer Schwellwertanalyse
Bei der Durchführung einer Schwellwertanalyse ist nach Ansicht des LDA Bayern in der Regel folgendes Vorgehen angebracht:
- ist für die Verarbeitungstätigkeit entbehrlich?
- Falls nicht, Prüfung, ob der Eintrag des VVT in die Beispiele des Art. 35 Abs. 3 DSGVO fällt.
- Falls nicht, Prüfung on der Eintrag des VVT in die sog. Muss-Liste zur DSFA der DSK fällt
- Falls nicht, Prüfung ob der Eintrag des VVT im Regelwerk des WP248 mindestens in zwei Kategorien eingeordnet werden kann. Bei innovativen Technologien kann auch nur ein Eintrag ausreichend sein
- Falls nicht, Prüfung ob angedachte technische und organisatorische Maßnahmen für einen Eintrag des VVT eine wirksame Risikoeindämmung im Sinne der Rechenschaftspflicht nach Art. 5 DSGVO plausibel erscheinen lassen.
Unser Muster einer Schwellwertanalyse ist nach dieser Reihenfolge konzipiert und unterstützt Sie dabei dies einfach und effizient umzusetzen.
Fazit:
Schwellwertanalysen und DSFAs fördern ein tieferes Verständnis für den Datenschutz innerhalb einer Organisation. Mitarbeiter werden sensibilisiert und geschult, was zu einer allgemein verantwortungsvolleren Handhabung von personenbezogenen Daten führt.
Durch die systematische Bewertung und Dokumentation von Datenverarbeitungsprozessen können gute Praktiken und kontinuierliche Verbesserungen im Datenschutz etabliert werden.
Insgesamt sind Schwellenwertanalysen zur Überprüfung der Notwenigkeit einer DSFA ein wesentliches Werkzeug im Datenschutzmanagement, dass nicht nur zur Einhaltung gesetzlicher Anforderungen beiträgt, sondern auch einen proaktiven Ansatz zur Wahrung der Privatsphäre und zum Schutz personenbezogener Daten fördert.