Frage: Gibt es bereits Listen, wann eine DSFA erfoderlich ist oder nicht (Art. 35 Abs. 4 und 5 DSGVO), bzw. gibt es hierzu laufende Kohärenzverfahren (Art. 35 Abs. 6 DSGVO)?
Ach, das würde ich gar nicht so formell sehen. Ich würde einfach immer eine machen, wenn ich systematische und umfassende Bewertung persönlicher Aspekte oder umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten habe. Wenn man mal eine DSFA zu viel macht, schadet es ja auch nicht. Man kann es ja auch mehrstufig machen - zuerst grob die allgemeine Kritikalität bestimmen und nur bei “sehr hoch” dann mit der DSFA weitergehen.
Das ist die Blacklist der Aufsichten (eine Liste “nicht erforderlich” wird es vermutlich nie geben):
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html
und dort am Ende der Seite dann die Liste der DSK,
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile&v=5 (Version 1.1 vom 17.10.2018)
1 „Gefällt mir“
Hallo,
wie der User haderner schon angemerkt hat, wir es seitens der Aufsichtsbehörden oder der DSK garantiert keine Aussage dazu geben, in welchen Fällen eine DSFA nicht erforderlich ist.
Bei einer Fortbildung Datenschutz im Gesundheitswesen hatte ein Dozent aber eine sehr interessante Aussage getroffen: “Immer dann wenn zu einem vergleichbaren Vorgang bereits eine DSFA durchgeführt wurde, sollte man überlegen, ob diese DSFA übertragbar ist.”
Diese Aussage finde ich sehr praktikabel, da im Laufe der Zeit bereits einige DSFA durchgeführt wurden und man dann über einen eigenen Fundus verfügt, an Hand dem dann auch entschieden werden kann ob eine DSFA notwendig wird oder eben nicht.
Steht auch so in der DSGVO. In vergleichbaren Situationen lassen sich vergleichbare Schlüsse ziehen. Kurz nachschauen, ob nichts abweicht, und schon ist folgenabschätzt!
Man kann weiter gehen und Folgenabschätzungen externer Stellen nutzen. (Urheberrecht?) Manche Dienstleister oder Hersteller stellen solche Unterlagen allen Kunden zur Verfügung. Würde ich aber nicht ungeprüft übernehmen. Z. B. andere Betroffenengruppen, auf Verhältnisse öffentlicher Stellen bezogen, veralteter Stand…
Vorsicht bei äh… wohlwollenden Herausgebern. Zu unkritische Beurteilungen können die Brisanz von Falschgeld haben. Nicht nur dass die Anforderungen des Art. 35 nicht erfüllt sind; evtl. übernimmt man nicht tragfähige Rechtsgrundlagen und hat dann eine von Anfang an unzulässige Verarbeitung.
D., der bei in Umlauf befindlichen Folgenabschätzungen für Microsoft 365 nicht mal lachen konnte.
1 „Gefällt mir“
Wir haben schon DSFA gemacht und geprüft. Bei der Notwendigkeit und dem Vorgehen halten wir uns an die Empfehlungen für eine DSFA aus Bayern https://www.lda.bayern.de/de/thema_dsfa.html und die Empfehlungen der DSK. Nach diesen Maßstäben haben wir schon eine DSFA für den Einsatz von Moodle und BBB in Schulen gemacht und eine DSFA, die ein konkurrierender Hersteller für Schulsoftware von einem Anwaltsbüro machen lies, geprüft. Beim Praxistest zeigte sich da der Wert einer DSFA, die nur auf vertragliche Zusicherungen baut, denn die Software lief nachweislich auf einem US-Server von AWS, obwohl rein europäisches Hosting vertraglich zugesagt war. Das wurde z.B. von der Kanzlei nicht geprüft.
Wenn Unterstützung benötigt wird, können wir gern helfen. Für Genossenschaftsmitglieder geht das dann auch noch zum Selbstkostenpreis, da wir nicht renditeorientiert arbeiten.
1 „Gefällt mir“
Ja, gerade bei DSFA-Ausarbeitungen von Herstellern und unternehmensnahen Kanzleien kann beobachtet werden, dass mögliche Risiken systematisch zu niedrig eingestuft werden bzw. gar nicht betrachtet werden…
2 „Gefällt mir“
Hallo Domasla, ich hab da mal eine Frage - auch zu DSFA - aber dann doch anderer Hintergrund.
HinSchG. Da steht im § 10, das die interne Meldestelle pb Daten verarbeitet werden dürfen, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist. Also: gesetzliche Norm, die die Verarbeitung erforderlich macht.
Im Art. 35 Abs. 10 DSGVO steht, dass “Falls die Verarbeitung gemäß Art. 6 Abs. 1 c oder e DSGVO auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.”
Kann der Beschäftigungsgeber (Arbeitgeber mit mehr als 50 Nasen) denn nun davon ausgehen, dass A) vor Gesetzesbeschluss eine DSFA gemacht worden ist und B) dass er (der Beschäftigungsgeber) damit nach Art. 35 Abs. 10 raus ist und keine DSFA mehr zu machen braucht?
Kann man diese Frage nach der durchgeführten DSFA zum Gesetzgebungsverfahren HinSchG hier im Forum eigentlich an den BfDI stellen?
Hab vielen Dank!
LG J
Hallo @dsb_BFW-HST!
Soweit mir bekannt, wurde beim HinSchG im Rahmen des Gesetzgebungsverfahrens keine DSFA gemacht. Der Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) hatte dies im Rahmen seiner Stellungnahme zum Gesetzentwurf seinerzeit angeregt, um den Aufwand für die Beschäftigungsgeber zu minimieren.
Ich persönlich gehe, wie auch die meisten Publikationen, davon aus dass die mit dem Betrieb eines Hinweisgeberschutzsystems verbundenen Verarbeitungsvorgänge ein hohes Risiko für die betroffenen Personen mit sich bringen. Als Beispiele seien hier nur mal genannt:
- Unerwünschte Identifikation der hinweisgebenden Person oder von der Meldung betroffener Personen
- Verlust der Vertraulichkeit oder
- Denunziation
- …
Insofern kommt man m.E. nicht darum herum, als Verantwortlicher vor der Etablierung der internen Meldestelle eine DSFA vorzunehmen.
Meines Wissens hat es z.B. auch schon in Italien heftige Bußgelder gegen verschiedene Unternehmen gegeben, weil diese im Rahmen der Umsetzung der EU-Richtlinie bzw. bei der Einrichtung eines Hinweisgebersystems keine DSFA durchgeführt haben.
Hier schließe ich mich an. Das Verfahren, wie es dann im Unternehmen umgesetzt wird, ist ja nicht konkret vorgegeben. Abläufe, Verantwortliche, Software und Hardware sind individuell und daher muss der AG eine eigene DSFA machen…
Ja, die Ausgestaltung kann anders sein, und die Personengruppen, mit deren Hinweisen zu rechnen wäre. Externe Anbieter sollte ihre mitgebrachten Folgenabschätzungen bzw. die Beratung so gestaltet haben, dass sie auf spezifische Gegebenheiten der Kunden einzugehen.
Fremde Folgenabschätzungen können eigentlich erst nach Anpassung an die betrieblichen Gegebenheiten übernommen werden. D. h. meistens so viel Aufwand wie alles selbst machen.
Trotzdem wäre es schick, sich an einem Muster speziell für Hinweisgeberschutz orientieren zu können.
Dass irgendwas in Richtung DSFA unternommen werden muss, ist ziemlich klar. Diesmal wohl erst begleitend bzw. nachträglich statt vorab, weil die Stellen gesetzlich verpflichtet sind, ihre Meldestelle bereits umgesetzt zu haben. Da war praktisch keine Zeit, sich ernsthaft damit zu beschäftigen und alles auszuloten.
D., der sich schon darauf äh… freut, seine Stellungnahme abgeben zu dürfen.
Das österreichische HinweisgeberInnenschutzgesetz - HSchG sagt im §8 Abs. 13 übrigens zur DSFA folgendes:
(13) Die auf Grundlage der Abs. 1 bis 12 vorzunehmenden Datenverarbeitungen beruhen auf einer Rechtsgrundlage des Unionsrechts (§ 26) und sind bereits Gegenstand einer allgemeinen Datenschutz-Folgenabschätzung. Sie erfüllen daher die Voraussetzungen des Art. 35 Abs. 10 DSGVO für den Entfall der Datenschutz-Folgenabschätzung.
Ja, aber das gilt für den Geltungsbereich des österreichischen Hinweisgeberschutzgesetzes. Deren abstrakte DSFA findet sich hier ab Seite 23: 1921 der Beilagen XXVII. GP - Ausschussbericht NR - Berichterstattung (parlament.gv.at), da kann man sich für seine eigene konkrete DSFA inspirieren lassen.
1 „Gefällt mir“