Datenschutzfolgeabschätzung: Wann, warum und wie?

Datenschutzfolgeabschätzung: Wann, warum und wie?

Die Datenschutzfolgeabschätzung (DSFA) ist ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und soll sicherstellen, dass Risiken für die Rechte und Freiheiten von Betroffenen rechtzeitig erkannt und minimiert werden. Doch was genau regelt die DSFA, wann muss sie durchgeführt werden, und welche Konsequenzen drohen, wenn Unternehmen, Schulen oder andere Organisationen sie vernachlässigen?

Was ist eine Datenschutzfolgeabschätzung?

Die Datenschutzfolgeabschätzung ist ein strukturierter Prozess, der dazu dient, die Auswirkungen einer Datenverarbeitung auf den Schutz personenbezogener Daten zu analysieren und Risiken zu minimieren. Sie ist verpflichtend für Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Die rechtliche Grundlage dafür findet sich in Art. 35 DSGVO:

“Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, (…) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.”
(Quelle: Art. 35 DSGVO)

Wann ist eine Datenschutzfolgeabschätzung erforderlich?

Eine DSFA ist erforderlich, wenn eine Datenverarbeitung ein hohes Risiko mit sich bringt. Die DSGVO nennt hierfür exemplarisch folgende Fälle:

1. Systematische und umfassende Bewertung persönlicher Aspekte:
   Zum Beispiel bei der Erstellung von Profilen oder der automatisierten Entscheidungsfindung, wie sie etwa bei Scoring-Methoden in Banken vorkommen.

2. Verarbeitung sensibler Daten:
   Dazu zählen besondere Kategorien personenbezogener Daten wie Gesundheitsdaten, biometrische Daten oder Daten zur ethnischen Herkunft.

3. Überwachung öffentlich zugänglicher Bereiche:
   Hierunter fallen beispielsweise umfangreiche Videoüberwachungen in öffentlichen Räumen.

Eine DSFA wird auch dann erforderlich, wenn eine Verarbeitung mehrere dieser Kriterien erfüllt oder durch ihre Größe und Komplexität zusätzliche Risiken birgt.

Wer ist verantwortlich für die Durchführung?

Verantwortlich ist stets der Datenverarbeitungsverantwortliche, also die Organisation oder Person, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Das können beispielsweise sein:

• Unternehmen: Bei der Einführung neuer CRM-Systeme, Analyse-Tools oder Überwachungssysteme.
• Schulen und Bildungseinrichtungen: Etwa bei der Nutzung von Cloud-Diensten zur Verwaltung von Schülerdaten.
• Behörden: Bei der Verarbeitung personenbezogener Daten von Bürgern.

In vielen Fällen wird der Datenschutzbeauftragte der Organisation eingebunden, um die DSFA zu unterstützen und ihre Einhaltung zu überwachen.

Was regelt die Datenschutzfolgeabschätzung?

Eine DSFA umfasst mehrere Schritte, die in Art. 35 DSGVO und durch Leitlinien der Datenschutzbehörden geregelt sind. Dazu gehören:

1. Beschreibung der Verarbeitung:
   Der Verantwortliche beschreibt detailliert, welche Daten verarbeitet werden, auf welche Weise und zu welchem Zweck.

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit:
   Es wird geprüft, ob die Datenverarbeitung tatsächlich erforderlich ist und ob sie den Datenschutzgrundsätzen entspricht.

3. Risikobewertung:
   Mögliche Risiken für die Rechte und Freiheiten der Betroffenen werden identifiziert, analysiert und bewertet.

4. Maßnahmen zur Risikominderung:
   Konkrete Schritte, um Risiken zu minimieren, werden festgelegt. Dazu können technische und organisatorische Maßnahmen (TOM) gehören, wie etwa Verschlüsselung oder Zugriffsbeschränkungen.

5. Beteiligung der Aufsichtsbehörde:
   Wenn trotz der Maßnahmen ein hohes Risiko bestehen bleibt, muss die zuständige Datenschutzbehörde konsultiert werden.

Folgen bei fehlender Datenschutzfolgeabschätzung

Die Nichteinhaltung der Pflicht zur Durchführung einer DSFA kann erhebliche Konsequenzen nach sich ziehen:

1. Bußgelder:
   Gemäß Art. 83 DSGVO können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden.

2. Datenverarbeitungsverbote:
   Die Aufsichtsbehörde kann die Datenverarbeitung untersagen, was schwerwiegende Auswirkungen auf Geschäftsprozesse haben kann.

3. Imageverlust:
   Verstöße gegen Datenschutzregelungen werden häufig öffentlich bekannt, was das Vertrauen von Kunden, Mitarbeitenden oder Schülern nachhaltig schädigen kann.

Ja, als Mitarbeiter hast du das Recht, nachzufragen, ob für bestimmte Datenverarbeitungen in deinem Unternehmen eine Datenschutzfolgeabschätzung (DSFA) durchgeführt wurde, insbesondere wenn diese Verarbeitungen deine personenbezogenen Daten betreffen. Dies ergibt sich aus mehreren rechtlichen Grundlagen der Datenschutz-Grundverordnung (DSGVO):

Rechte des Mitarbeiters gemäß DSGVO

1. Recht auf Auskunft (Art. 15 DSGVO):
   Du hast das Recht, von deinem Arbeitgeber eine Bestätigung zu verlangen, ob und welche personenbezogenen Daten von dir verarbeitet werden. Dazu gehört auch die Auskunft über:

   • Die Zwecke der Verarbeitung,
   • Die Rechtsgrundlage der Verarbeitung,
   • Ob eine DSFA durchgeführt wurde, wenn die Verarbeitung mit hohen Risiken verbunden ist.

2. Recht auf Transparenz (Art. 12 DSGVO):
   Dein Arbeitgeber ist verpflichtet, dich über den Umgang mit deinen Daten klar und verständlich zu informieren. Dazu gehört auch, ob Risiken durch eine DSFA bewertet wurden.

3. Recht auf Schutz deiner Privatsphäre:
   Insbesondere, wenn dein Arbeitgeber Überwachungstechnologien einsetzt (z. B. Microsoft Productivity Score oder ähnliche Tools), darf dies nur erfolgen, wenn die Verarbeitung rechtmäßig ist und die Risiken geprüft wurden.

Wie frage ich nach der DSFA?

Du kannst dich an folgende Stellen wenden:

1. Datenschutzbeauftragter:
   Falls dein Unternehmen einen Datenschutzbeauftragten (DSB) hat, ist dieser die richtige Anlaufstelle. Schreibe eine formelle Anfrage, in der du dich auf Art. 15 DSGVO berufst und nach der DSFA fragst.

   Beispielanfrage:

   Sehr geehrte/r Datenschutzbeauftragte/r,  
   ich bitte um Auskunft gemäß Art. 15 DSGVO über die Verarbeitung meiner personenbezogenen Daten.  
   Insbesondere möchte ich wissen, ob eine Datenschutzfolgeabschätzung (DSFA) für die Nutzung von [z. B. Microsoft 365] oder ähnliche Technologien in unserem Unternehmen durchgeführt wurde und welche Maßnahmen zum Schutz meiner Daten getroffen wurden.  
   Vielen Dank für Ihre Rückmeldung.  
   Mit freundlichen Grüßen,  
   [Dein Name]  
   

2. Betriebsrat:
   Der Betriebsrat hat eine Mitbestimmungspflicht bei der Einführung von Technologien, die Daten über Mitarbeitende erheben. Du kannst dich an ihn wenden, um Informationen über die DSFA oder deren Ergebnisse zu erhalten.

3. Personalabteilung:
   In kleineren Unternehmen ohne Datenschutzbeauftragten kann die Personalabteilung helfen.

Was tun, wenn keine DSFA vorliegt?

Falls dir mitgeteilt wird, dass keine DSFA durchgeführt wurde, obwohl offensichtlich hohe Risiken für deine Privatsphäre bestehen (z. B. bei Cloud-Diensten, Überwachungstools oder KI-Systemen), kannst du:

1. Den Arbeitgeber zur Durchführung auffordern:
   Weise darauf hin, dass eine DSFA gemäß Art. 35 DSGVO verpflichtend ist, wenn eine Datenverarbeitung potenziell hohe Risiken birgt.

2. Die Datenschutzbehörde informieren:
   Wenn der Arbeitgeber keine Maßnahmen ergreift, kannst du eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde einreichen.

3. Den Betriebsrat einschalten:
   Der Betriebsrat kann Druck auf die Geschäftsleitung ausüben und die Einhaltung der DSGVO einfordern.

Warum ist die DSFA für Mitarbeiter wichtig?

Die DSFA ist nicht nur ein formales Dokument, sondern ein Schutzmechanismus:

• Sie stellt sicher, dass deine Daten sicher verarbeitet werden und keine unnötigen Risiken bestehen.
• Sie zeigt auf, wie dein Arbeitgeber Datenschutz und Datensicherheit umsetzt.
• Sie minimiert Überwachung und unzulässige Datennutzung, z. B. durch Tracking-Tools oder umfassende Leistungsanalysen.

Fazit

Als Mitarbeiter darfst du nachfragen, ob eine DSFA durchgeführt wurde, und du hast das Recht auf eine transparente Antwort. Dein Arbeitgeber ist verpflichtet, dir diese Informationen bereitzustellen, insbesondere wenn deine Daten betroffen sind. Nutze dafür deine Rechte auf Auskunft und Transparenz, die dir die DSGVO gibt. Genau, Unternehmen, die Microsoft 365 oder ähnliche Cloud-Dienste einsetzen, müssen in der Regel eine Datenschutzfolgeabschätzung (DSFA) durchführen, wenn durch den Einsatz ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen besteht. Der Grund dafür liegt in der Art und Weise, wie personenbezogene Daten in der Cloud verarbeitet werden.

Warum ist eine DSFA bei Microsoft 365 erforderlich?

1. Verarbeitung sensibler Daten:
   Microsoft 365 speichert und verarbeitet häufig personenbezogene Daten (z. B. E-Mails, Kalender, Teams-Meetings, Dokumente). Besonders kritisch wird es, wenn sensible oder besondere Kategorien von Daten verarbeitet werden, z. B. Gesundheitsdaten oder Betriebsgeheimnisse.

2. Standort der Datenverarbeitung:
   Microsoft speichert Daten in Rechenzentren, die sich weltweit befinden können. Selbst wenn du EU-Rechenzentren wählst, können Support-Zugriffe aus Drittstaaten wie den USA erfolgen, was Fragen zur DSGVO-Konformität aufwirft.

3. Mögliche Überwachung:
   Einige Funktionen von Microsoft 365, wie die Nutzung von Microsoft Productivity Score, können als Mitarbeiterüberwachung interpretiert werden. Dies könnte ein hohes Risiko für die Privatsphäre darstellen.

4. Hohes Risiko durch Cloud-Technologie:
   Cloud-Lösungen bergen ein inhärentes Risiko, insbesondere bei Datensicherheitsvorfällen, Datenverlust oder unbefugtem Zugriff durch Dritte.

Was regelt die Datenschutzfolgeabschätzung in diesem Fall?

Eine DSFA soll klären:

• Welche Daten verarbeitet werden: Umfang, Zweck und Sensibilität der Daten.
• Welche Risiken bestehen: Für die betroffenen Personen, insbesondere durch die Verarbeitung in der Cloud.
• Wie Risiken minimiert werden können: Technische und organisatorische Maßnahmen, z. B. Verschlüsselung oder Zugriffsbeschränkungen.
• Rechtsgrundlage: Ob die Verarbeitung auf einer validen Rechtsgrundlage (z. B. Vertragserfüllung, berechtigtes Interesse) basiert.

Ein zentraler Punkt ist dabei die Dokumentation der Maßnahmen, um die DSGVO-Vorgaben einzuhalten.

Folgen, wenn keine DSFA durchgeführt wird

1. Bußgelder:
   Ein Verstoß gegen Art. 35 DSGVO (Pflicht zur DSFA) kann zu erheblichen Geldstrafen führen, abhängig von der Größe des Unternehmens und der Schwere des Verstoßes.

2. Untersagung der Verarbeitung:
   Datenschutzbehörden können die Nutzung von Microsoft 365 untersagen, wenn keine DSFA vorliegt oder die Verarbeitung datenschutzrechtlich nicht ausreichend abgesichert ist.

3. Image-Schaden:
   Ein öffentlich bekannt gewordener Datenschutzverstoß kann zu einem Vertrauensverlust bei Kunden und Geschäftspartnern führen.

Handlungsempfehlungen für Unternehmen

1. DSFA durchführen:
   Stelle sicher, dass alle Cloud-Dienste, einschließlich Microsoft 365, einer Datenschutzfolgeabschätzung unterzogen werden.

2. Risikominimierung:
   Implementiere Maßnahmen wie Verschlüsselung, Zwei-Faktor-Authentifizierung und Zugriffsprotokollierung.

3. Beratung einholen:
   Ziehe Datenschutzexperten oder externe Berater hinzu, um die DSFA zu erstellen und abzusichern.

4. Aufsichtsräte und Betriebsräte einbinden:
   Bei der Einführung von Cloud-Technologien wie Microsoft 365 ist es wichtig, interne Stakeholder frühzeitig zu informieren und einzubinden.

Wichtig

Unternehmen, die Microsoft 365 einsetzen, müssen aufgrund der Art der Datenverarbeitung in der Cloud eine DSFA durchführen. Dies ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Schritt, um Datenschutzrisiken zu minimieren und die Rechte der Betroffenen zu wahren. Warum ist eine DSFA bei Microsoft 365 erforderlich?

Verarbeitung sensibler Daten:
Microsoft 365 speichert und verarbeitet häufig personenbezogene Daten (z. B. E-Mails, Kalender, Teams-Meetings, Dokumente). Besonders kritisch wird es, wenn sensible oder besondere Kategorien von Daten verarbeitet werden, z. B. Gesundheitsdaten oder Betriebsgeheimnisse.

Standort der Datenverarbeitung:
Microsoft speichert Daten in Rechenzentren, die sich weltweit befinden können. Selbst wenn du EU-Rechenzentren wählst, können Support-Zugriffe aus Drittstaaten wie den USA erfolgen, was Fragen zur DSGVO-Konformität aufwirft.

Mögliche Überwachung:
Einige Funktionen von Microsoft 365, wie die Nutzung von Microsoft Productivity Score, können als Mitarbeiterüberwachung interpretiert werden. Dies könnte ein hohes Risiko für die Privatsphäre darstellen.

Hohes Risiko durch Cloud-Technologie:
Cloud-Lösungen bergen ein inhärentes Risiko, insbesondere bei Datensicherheitsvorfällen, Datenverlust oder unbefugtem Zugriff durch Dritte.

Was regelt die Datenschutzfolgeabschätzung in diesem Fall?

Eine DSFA soll klären:

Welche Daten verarbeitet werden: Umfang, Zweck und Sensibilität der Daten.
Welche Risiken bestehen: Für die betroffenen Personen, insbesondere durch die Verarbeitung in der Cloud.
Wie Risiken minimiert werden können: Technische und organisatorische Maßnahmen, z. B. Verschlüsselung oder Zugriffsbeschränkungen.
Rechtsgrundlage: Ob die Verarbeitung auf einer validen Rechtsgrundlage (z. B. Vertragserfüllung, berechtigtes Interesse) basiert.

Ein zentraler Punkt ist dabei die Dokumentation der Maßnahmen, um die DSGVO-Vorgaben einzuhalten.

Fazit: Warum eine DSFA wichtig ist

Die Datenschutzfolgeabschätzung ist nicht nur ein rechtliches Muss, sondern ein wirksames Instrument, um Risiken zu minimieren und Vertrauen zu schaffen. Organisationen sollten frühzeitig prüfen, ob eine DSFA erforderlich ist, und sie gewissenhaft durchführen. Datenschutzbeauftragte und externe Experten können dabei wertvolle Unterstützung bieten.

Weitere Informationen:

• Art. 35 DSGVO – Datenschutzfolgeabschätzung
• Leitlinien zur Datenschutzfolgeabschätzung der Europäischen Datenschutzbehörden

Schützen Sie die Daten, schützen Sie die Rechte – mit einer sorgfältigen Datenschutzfolgeabschätzung!

Siehe auch

• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird
• Die DSGVO als Reaktion auf Snowden: Eine Theorie über symbolische Datensouveränität und ihre Grenzen
• Datenschutz-Erfolg gegen Microsoft: Warum Deutschland diesem Beispiel folgen sollte
• Die Illusion der digitalen Souveränität: Europas großer Selbstbetrug