Die Einschätzung der Cyber Academy
Eine DPIA ist die strukturierte Analyse, die das GDPR vor einer Verarbeitung mit hohem Risiko vorschreibt. Sie dokumentiert Art, Umfang, Kontext und Zwecke der Verarbeitung, bewertet Notwendigkeit und Verhältnismäßigkeit und identifiziert Maßnahmen zur Risikoминimierung. Die CNIL stellt ein kostenloses PIA-Tool bereit. Wer eine erforderliche DPIA weglässt, lädt Aufsichtsbehörden geradezu ein.
Wann eine DSFA erforderlich ist und wann nicht
Eine Datenschutz-Folgenabschätzung ist kein Formalakt, den Sie für jedes Projekt erstellen. Die DSGVO knüpft sie an einen einzigen Auslöser: eine Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Text nennt einige Fälle, in denen die Abschätzung verpflichtend ist, etwa eine systematische und umfassende Profilbildung, die rechtliche oder ähnlich erhebliche Wirkungen entfaltet, die umfangreiche Verarbeitung besonderer Kategorien von Daten und die umfangreiche systematische Überwachung eines öffentlich zugänglichen Bereichs. Die nationalen Aufsichtsbehörden veröffentlichen dann ihre eigenen Listen von Verarbeitungsvorgängen, die stets eine DSFA erfordern, sowie Listen von Vorgängen, die keine erfordern.
In der Praxis beginnen Sie mit einer Vorprüfung. Stellen Sie der Verarbeitung eine kurze Liste von Risikokriterien gegenüber, etwa der vom Europäischen Datenschutzausschuss veröffentlichten Art, und zählen Sie, wie viele zutreffen. Kombinationen wie Bewertung oder Scoring zusammen mit automatisierter Entscheidungsfindung oder sensible Daten zusammen mit einer umfangreichen Datenverarbeitung lassen Sie die Schwelle überschreiten. Wenn die Antwort unsicher ist, besteht das vertretbare Vorgehen darin zu dokumentieren, warum Sie zu dem Schluss gekommen sind, dass keine vollständige DSFA erforderlich war, und nicht darin, die Frage stillschweigend zu übergehen.
Was in die Abschätzung gehört
Die DSGVO legt einen Mindestinhalt fest. Eine DSFA muss eine systematische Beschreibung der Verarbeitungsvorgänge und der Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf diese Zwecke, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die zur Bewältigung dieser Risiken geplanten Maßnahmen, einschließlich Garantien und Sicherheitsvorkehrungen, enthalten. Die CNIL stellt ein kostenloses PIA-Softwarewerkzeug bereit, das Sie genau durch diese Struktur führt, und es gibt keinen Grund, sie von Grund auf neu aufzubauen.
Notwendigkeit und Verhältnismäßigkeit sind die Punkte, an denen die meisten Abschätzungen dünn sind. Es handelt sich um eine rechtliche Prüfung, nicht um eine sicherheitstechnische: Ist jedes Datenfeld tatsächlich für den angegebenen Zweck erforderlich, ist die Aufbewahrungsfrist gerechtfertigt, besteht eine Rechtsgrundlage, sind die Rechte der betroffenen Personen gewahrt. Die Risikoanalyse ist der sicherheitsnahe Teil, und sie entlehnt unmittelbar der Praxis des Risikomanagements.
Hier liefern Ihnen ISO 27005 und EBIOS Risk Manager das Vokabular der Bedrohungen, der befürchteten Ereignisse, der Eintrittswahrscheinlichkeit und der Schwere. Eine DSFA bewertet das Risiko für die Personen, deren Daten verarbeitet werden, nicht das Risiko für die Organisation, und das ist die Unterscheidung, an der man stolpert.
Wer sie durchführt und wie sie lebendig bleibt
Der Verantwortliche ist für die Durchführung der DSFA zuständig. Ist ein Datenschutzbeauftragter benannt, muss der Verantwortliche dessen Rat einholen, und der DSB prüft in der Regel die Abschätzung und überwacht deren Durchführung. Sie sollten außerdem, soweit angebracht, den Standpunkt der betroffenen Personen oder ihrer Vertreter einholen. Auftragsverarbeiter haben eine Unterstützungspflicht. Wenn das Restrisiko nach der Minderung hoch bleibt und Sie es nicht verringern können, verlangt die DSGVO eine vorherige Konsultation der Aufsichtsbehörde, bevor die Verarbeitung beginnt.
Eine DSFA ist ein lebendes Dokument. Der Verantwortliche muss sie überprüfen, wenn sich das mit der Verarbeitung verbundene Risiko ändert, etwa durch einen neuen Datenfluss, eine neue Technologie, einen neuen Zweck oder einen neuen Unterauftragsverarbeiter. Behandeln Sie sie als fortlaufend: Ein sinnvoller Rhythmus besteht darin, die Abschätzungen in einem festgelegten Zyklus und immer dann zu überprüfen, wenn sich die Gestaltung ändert, anstatt sie einmal abzulegen und zu vergessen.
| Dimension | DSFA | Allgemeine Sicherheitsrisikobewertung |
|---|---|---|
| Auslöser | Risikoreiche Verarbeitung personenbezogener Daten | Jedes Asset, System oder jeder Prozess im Geltungsbereich |
| Gegenstand des Risikos | Rechte und Freiheiten natürlicher Personen | Die Organisation und ihre Vermögenswerte |
| Rechtlicher Status | Nach der DSGVO verpflichtend, wenn ausgelöst | Getrieben durch eine Richtlinie oder Standards wie ISO 27001 |
| Typische Methode | CNIL-PIA-Werkzeug, EDPB-Kriterien, Notwendigkeitsprüfung | ISO 27005, EBIOS Risk Manager |
| Ergebnis | Minderungsmaßnahmen plus mögliche vorherige Konsultation | Behandlungsplan und Akzeptanz des Restrisikos |
Frequently asked questions
01Ist eine DSFA für jede Verarbeitungstätigkeit verpflichtend?
Nein. Sie ist nur erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für natürliche Personen zur Folge hat. Sie führen zunächst eine Vorprüfung anhand der von Ihrer Aufsichtsbehörde und dem EDPB veröffentlichten Kriterien durch und dokumentieren das Ergebnis der Vorprüfung in beiden Richtungen.
02Was ist der Unterschied zwischen einer DSFA und einer PIA?
Sie beschreiben denselben Vorgang. DSFA ist der in der DSGVO verwendete Begriff. PIA, Privacy Impact Assessment, ist die umfassendere und ältere Bezeichnung, und es ist der Name, den die CNIL ihrem kostenlosen Softwarewerkzeug gibt.
03Was geschieht, wenn das Restrisiko nach der Minderung hoch bleibt?
Die DSGVO verlangt eine vorherige Konsultation der Aufsichtsbehörde, bevor Sie mit der Verarbeitung beginnen. Die Behörde kann beraten und, sofern die Verarbeitung gegen die Verordnung verstoßen würde, ihre Abhilfebefugnisse ausüben.
04Wer ist für die Durchführung der DSFA verantwortlich?
Der Verantwortliche. Ist ein DSB benannt, muss der Verantwortliche dessen Rat einholen, und der DSB überwacht die Durchführung. Auftragsverarbeiter müssen unterstützen, und Sie sollten, soweit angebracht, den Standpunkt der betroffenen Personen einholen.
05Wann muss eine DSFA überprüft werden?
Immer dann, wenn sich das mit der Verarbeitung verbundene Risiko ändert: ein neuer Zweck, ein neuer Datenfluss, eine neue Technologie oder ein neuer Unterauftragsverarbeiter. Behandeln Sie sie als lebendes Dokument mit einem regelmäßigen Überprüfungszyklus, nicht als einmalige Übung.