Datenschutzfolgenabschätzung

Frage: Gibt es bereits Listen, wann eine DSFA erfoderlich ist oder nicht (Art. 35 Abs. 4 und 5 DSGVO), bzw. gibt es hierzu laufende Kohärenzverfahren (Art. 35 Abs. 6 DSGVO)?

Ach, das würde ich gar nicht so formell sehen. Ich würde einfach immer eine machen, wenn ich systematische und umfassende Bewertung persönlicher Aspekte oder umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten habe. Wenn man mal eine DSFA zu viel macht, schadet es ja auch nicht. Man kann es ja auch mehrstufig machen - zuerst grob die allgemeine Kritikalität bestimmen und nur bei “sehr hoch” dann mit der DSFA weitergehen.

Das ist die Blacklist der Aufsichten (eine Liste “nicht erforderlich” wird es vermutlich nie geben):

https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html
und dort am Ende der Seite dann die Liste der DSK,
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile&v=5 (Version 1.1 vom 17.10.2018)

1 „Gefällt mir“

Hallo,

wie der User haderner schon angemerkt hat, wir es seitens der Aufsichtsbehörden oder der DSK garantiert keine Aussage dazu geben, in welchen Fällen eine DSFA nicht erforderlich ist.
Bei einer Fortbildung Datenschutz im Gesundheitswesen hatte ein Dozent aber eine sehr interessante Aussage getroffen: “Immer dann wenn zu einem vergleichbaren Vorgang bereits eine DSFA durchgeführt wurde, sollte man überlegen, ob diese DSFA übertragbar ist.”
Diese Aussage finde ich sehr praktikabel, da im Laufe der Zeit bereits einige DSFA durchgeführt wurden und man dann über einen eigenen Fundus verfügt, an Hand dem dann auch entschieden werden kann ob eine DSFA notwendig wird oder eben nicht.

Steht auch so in der DSGVO. In vergleichbaren Situationen lassen sich vergleichbare Schlüsse ziehen. Kurz nachschauen, ob nichts abweicht, und schon ist folgenabschätzt!

Man kann weiter gehen und Folgenabschätzungen externer Stellen nutzen. (Urheberrecht?) Manche Dienstleister oder Hersteller stellen solche Unterlagen allen Kunden zur Verfügung. Würde ich aber nicht ungeprüft übernehmen. Z. B. andere Betroffenengruppen, auf Verhältnisse öffentlicher Stellen bezogen, veralteter Stand…

Vorsicht bei äh… wohlwollenden Herausgebern. Zu unkritische Beurteilungen können die Brisanz von Falschgeld haben. Nicht nur dass die Anforderungen des Art. 35 nicht erfüllt sind; evtl. übernimmt man nicht tragfähige Rechtsgrundlagen und hat dann eine von Anfang an unzulässige Verarbeitung.

D., der bei in Umlauf befindlichen Folgenabschätzungen für Microsoft 365 nicht mal lachen konnte.

Wir haben schon DSFA gemacht und geprüft. Bei der Notwendigkeit und dem Vorgehen halten wir uns an die Empfehlungen für eine DSFA aus Bayern https://www.lda.bayern.de/de/thema_dsfa.html und die Empfehlungen der DSK. Nach diesen Maßstäben haben wir schon eine DSFA für den Einsatz von Moodle und BBB in Schulen gemacht und eine DSFA, die ein konkurrierender Hersteller für Schulsoftware von einem Anwaltsbüro machen lies, geprüft. Beim Praxistest zeigte sich da der Wert einer DSFA, die nur auf vertragliche Zusicherungen baut, denn die Software lief nachweislich auf einem US-Server von AWS, obwohl rein europäisches Hosting vertraglich zugesagt war. Das wurde z.B. von der Kanzlei nicht geprüft.
Wenn Unterstützung benötigt wird, können wir gern helfen. Für Genossenschaftsmitglieder geht das dann auch noch zum Selbstkostenpreis, da wir nicht renditeorientiert arbeiten.

Ja, gerade bei DSFA-Ausarbeitungen von Herstellern und unternehmensnahen Kanzleien kann beobachtet werden, dass mögliche Risiken systematisch zu niedrig eingestuft werden bzw. gar nicht betrachtet werden…

1 „Gefällt mir“