DSGVO: Was ist eine Datenschutz-Folgenabschätzung? (DSFA)

Auftragsverarbeitungsvertrag im Kontext der DSGVO

DSGVO: Was ist eine Datenschutz-Folgenabschätzung? (DSFA)

Seit Inkrafttreten der DSGVO müssen Unternehmen, die sensible Daten verarbeiten, eine DSFA durchführen. Dabei geht es um eine Risikobewertung bei der Speicherung und Verarbeitung sensibler Daten sowie sich daraus ergebender Behandlungsmaßnahmen.

Unternehmen, Behörden und andere Institutionen, welche sensible und persönliche Daten verarbeiten, sind zur Datenschutz-Folgenabschätzung verpflichtet. Hierbei geht es nicht nur um die Speicherung persönlicher Kundenangaben, sondern beispielsweise auch um Informationen zu den eigenen Mitarbeitern.

DSFA: Wer muss sie durchführen, was steckt dahinter?

Durchgeführt wird die Datenschutz-Folgeabschätzung in drei wesentlichen Schritten: Vorbereitung, Bewertung und Maßnahmen. Zunächst geht es darum, die rechtlichen Grundlagen, den Prüfungsgegenstand und die Akteure zu definieren. Dann folgt die Risikoeinschätzung für den Datenschutz. Auf Basis dieser Ergebnisse werden Maßnahmen und Regeln implementiert, um Datenschutzverletzungen vorzubeugen. Häufig gehen mit einer DSFA auch andere Dokumente wie Technische und organisatorische Maßnahmen (TOMs) einher.

Wann ist eine Datenschutz-Folgenabschätzung notwendig?

Gemäß Article 35 GDPR ist eine Datenschutz-Folgenabschätzung (DSFA oder DFA) dann nötig, wenn eine

„Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“

Dann muss der Verantwortliche (meist das die Technologie entwickelnde Unternehmen bzw. der dortige Datenschutzbeauftragte) vorab die Folgen in einer Art Worst-Case-Szenario aufschreiben oder sonstwie dokumentieren. Das Risiko umfasst dabei Art, Umfang, Umstände und Zwecke der Verarbeitung personenbezogeneder Daten.

Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Eine DFA ist vor allem dann erforderlich, wenn:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen u.a. durch Profiling (bspw. SCHUFA)
  • umfangreiche Verarbeitung best. Kategorien (bspw. Strafbehörden, Krankenhäuser, Anwälte etc.)
  • systematische umfangreiche Überwachung öffentlicher Bereiche (bspw. Bahnhöfe, Flughäfen etc.)

Was muss in einer DSFA stehen?

Eine DFA ist formfrei und gleicht einer Art Bericht, Protokoll oder Hausarbeit, in der sich eingehend mit einem Thema beschäftigt wird und unter anderem auch aktuelle wissenschaftliche Forschung in das Fazit einfließt (also ob man die neue Technologie verwendet oder nicht und was man zum Datenschutz macht).

Datenschutz-Folgenabschätzung an Beispielen

Disclaimer: Wir versuchen alle genannten Beispiele neutral zu bewerten, ergreifen für keines der Angebote Partei oder bevorzugen diese. Die dargestellten Szenarien sollen nur illustrieren und stellen keine Rechtsberatung o.Ä. dar.

Szenario #1: Gefahrenabschätzung bei Nutzung WhatsApp

Ihre Chefin ernennt Sie zum betrieblichen Datenschutzbeauftragten. Für die Mitarbeiterkommunikation soll demnächst WhatsApp genutzt werden. Dort sollen für Projekte die Planungen besprochen werden, soll sich mit Zulieferern abgesprochen, Zeitpläne gemacht werden usw.

Sie sollen eine Datenschutz-Folgenabschätzung (DFA) erstellen, in der Sie analysieren, welche Daten WhatsApp erhebt und wie hoch das Risiko bei Verlust ist (bspw. Hacking von WhatsApp oder Diebstahl eines Smartphones o.Ä.) ist.

Lösung: Für das Beispiel muss auf die möglichen Gefahren eingegangen werden, die mit einer Nutzung von WhatsApp einhergeht. Vor allem diese persönlichen Daten sammelt WhatsApp und die Folgen eines Verlusts dieser Daten müssten ermittelt werden:

  • Die eigene Handynummer
  • Die Handynummern der Freunde im Adressbuch (regelmäßig)
  • Änderungen bei Statusmeldungen
  • Nachrichten, die nicht zugestellt werden können (liegen maximal 30 Tage auf den Servern)
  • Dateien, die per Nachricht verschickt werden (für einen nicht genannten „kurzen Zeitraum“
  • Datum und Uhrzeit von zugestellten Nachrichten
  • Die Telefonnummer des Empfängers einer zugestellten Whatsapp-Nachricht.
  • Weitere Infos in den WhatsApp-AGB: https://www.whatsapp.com/legal/business-terms/?lang=de

Fazit: Da WhatsApp viele personenbezogene Daten sammelt, ist es risikoreich mit WhatsApp zu arbeiten. Es sollten vorher unbedingt Alternativen geprüft werden.

Szenario #2: Gefahrenabschätzung für Microsoft 365

Weltweit nutzen Millionen Kunden Dienste von Microsoft 365. Microsoft Teams, OneDrive SharePoint Online oder der Email-Dienst werden häufig genutzt. E-Mail-Versand, unternehmensinterner Datenaustausch, die Verwaltung von Bewerbungsunterlagen, Webtracking oder Websites-Hosta – alles Gründe, um eine DSFA durchführen zu müssen. Speziell für den Versand von Emails bietet sich beispielsweise eine Office 365 Secure Email an, um sicher zu sein.

Wie eine Datenschutz-Folgeabschätzung zu Microsoft 365 durch das niederländische Justizministerium[FA2]  zeigt, gibt es bei ihrer Verwendung keine Risiken. Allerdings besteht Verbesserungspotenzial bei den Telemetriedaten. Beanstandet werden vor allem Zugriffsprozesse und die fehlende Transparenz bei der nicht-personenbezogenen Datensammlung. Gerade die mangelnde Sicherheit bei Zugriffsprozessen ist es, welche sich Hacker als Ausgangspunkt für Bewegungen im Firmennetzwerk zunutze machen. Zwar ist die Multi-Faktor-Authentifizierung beim Gros der Unternehmen längst Standard, doch noch immer kommt es zu Cyberangriffen durch Office 365. So konnte eine Gruppe von Cyberangreifern beispielsweise im März 2022 Zugriff auf Quellcodes verschiedener Office-Anwendungen erlangen, jedoch waren nach Unternehmensaussagen keine Kundendaten oder -codes getroffen. Dennoch bleibt es Restrisiko für Microsoft-Nutzer, immer.

Szenario #3: Einführung von DER SEMINAR CAMPUS

Eine weitere beliebte Plattform für Homeoffice-Anwendungen oder Bildungslösungen ist DER SEMINAR CAMPUS. Verfügbar sind zahlreiche Tools rund um Aufgabenplanung, Dokumenten- und Dateiverwaltung, Kalender, Mindmaps und vieles mehr. Im Vergleich zu Anbietern wie Microsoft oder Google wird hier IT Made in Germany angeboten, gemäß der EU-DSGVO und mit regionalen Server-Standorten deutschlandweit. Da auch das Unternehmen selbst aus Deutschland kommt, wäre hier rechtlich ein sauberer Zustand zu attestierten. Durch Unternehmenssitz ist das Unternehmen bereits verpflichtet DSGVO-konform zu arbeiten.

Doch auch hier bleibt natürlich ein Restrisiko beim vernetzten Arbeiten. Die Verbindung zwischen den Nutzern und den Anwendungen auf der Plattform selbst sind häufig ungeschützt neuralgische Punkte, welche Hacker für ihre Angriffe nutzen könnten. Öffentliche Netzwerke beispielsweise werden für das ortsunabhängige Arbeiten gern genutzt. Der Gedanke, im Park eine Präsentation zu erstellen oder E-Mails zu beantworten, findet immer mehr Anklang. Doch die öffentlichen Netzwerke sind häufig gar nicht oder nur unzureichend gesichert. Hier sind VPN-Dienste oder sonstige Verschlüsselungen elementar. Sonst hilft auch die beste Cloud-Plattform nichts, wenn der Weg dorthin nicht sicher ist.

Szenario #4: Risiken bei Google Workspace

Die zahlreichen Business-Tools von Google Workspace erfreuen sich ebenfalls wachsender Beliebtheit. Unternehmen können auf verschiedene Groupware- und Office-Anwendungen (u. a. Gmail, Docs, Drive, Meet, Google Kalender) zugreifen. Dabei ermöglichen die cloud-basierten Prozesse einen orts- und geräteunabhängigen Austausch. Das US-Unternehmen verpflichtet sich zur Einhaltung der Vorgaben Datenschutzgesetzes der Europäischen Union und muss damit auch die Sicherheit bei der Verarbeitung sensibler Kundendaten gewährleisten. Dennoch kam es in der Vergangenheit immer wieder zu (erfolgreichen) Hackerangriffen auf Konten tausender Google-Kunden.

Sicherheit, auch nach schadhaften Angriffen

Deutsche Unternehmen rücken immer häufiger in den Fokus von Hackerangriffen. Die Folgen von Cyberangriffen waren dramatisch: Ein durchschnittlicher Schaden von mehr als 20.000 USD verursacht (der internationale Durchschnitt lag bei 17.000 USD). Längst haben deutsche Unternehmen in Sachen IT-Sicherheit aufgeholt und nachgerüstet. Doch nur ein erfolgreicher Zugriff, beispielsweise über externe Tools, Cloud-Speicher oder E-Mail reicht aus, um großen Schaden anzurichten.

Damit im Fall eines Hackerangriffs dennoch nicht alle Daten verloren gehen, sind Tools wie beispielsweise eine Disaster Recovery Office 365 äußerst wichtig. Sie sorgen richtig genutzt dafür, dass automatisch regelmäßige Backups sämtlicher Dokumente, E-Mails und Co. erstellt werden. Gehen durch den Cyberangriff wertvolle Daten verloren, lassen sie sich innerhalb kürzester Zeit wiederherstellen.

Der beste Schutz ist aber natürlich, wenn die Nutzer:innen selbst darauf achten, dass sie keine unbekannten Dateien öffnen, nur auf vertrauten Websites unterwegs sind und auch vom Arbeitgeber Unterstützung bei der Einrichtung sicherer Systeme erhalten.

Und was nun? Unsere Angebote:

DER Datenschutzbeauftragte: Christian Allner ist Experte in Datenschutzrecht und Datenschutzpraxis, beruflich qualifiziert und unabhängig. Seit 2013 führt er regelmäßig Weiterbildungen zu Datenschutz und Datensicherheit durch und coacht Unternehmen. Kontaktieren Sie gern uns oder beauftragen Sie uns direkt hier. Wir helfen Ihnen weiter: