Datenschutz-Folgenabschätzung

Für jede Verarbeitungstätigkeit (VT) muss, laut Datenschutz-Grundverordnung, dokumentiert und entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer DSFA-Erforderlichkeitsprüfung.

Für verwandte VTs kann ein und dieselbe DSFA-Erforderlichkeitsprüfung gelten um zu erklären, dass eine DSFA für die VT notwendig ist oder nicht.

Eine DSFA in HITGuard kombiniert die DSFA-Erforderlichkeitsprüfung und die darauffolgende DSFA. Zuerst wird die Erforderlichkeitsprüfung durchgeführt. Je nach Ergebnis der Prüfung kann der Dokumentationsschritt entweder abgeschlossen oder folglich eine DSFA durchgeführt und somit dokumentiert werden.

In HITGuard sind diese DSFA unter dem Menüpunkt "Datenschutz → DSFA" zu finden und zu verwalten.

Dort besteht auch die Möglichkeit existierende DSFA-Dokumente abzulegen.

Wichtig: Es kann ein Standard-DSFA-Bericht und ebenso ein Bericht für die Konsultation der Datenschutzbehörde erstellt werden.

Hinweis: Wenn Sie beim Ausfüllen der DSFA weniger Hilfe und dafür mehr Platz benötigen, können Sie den rechten Teil wegklappen und damit die Erklärungen ausblenden.

Um eine DSFA zu erstellen, wird in der Übersicht der DSFA ("Datenschutz → DSFA") der "Plus" Button geklickt.

Um eine DSFA zu bearbeiten, wird doppelt auf die gewünschte DSFA geklickt.

Im nachfolgendem Bild befindet sich eine Übersicht über alle DSFAs:

Hinweis: Viele Schritte der DSFA bieten zusätzliche Erklärungstexte im rechten Teil des Assistenten. Wenn Sie diese nicht benötigen und ausblenden möchten, können sie mit dem Pfeil rechts oben weggeklappt werden.

Im Nachfolgenden werden die Überprüfungsdetails einer DSFA beschrieben.

Bezeichnung: Hier wird eine Bezeichnung für die DSFA vergeben.

Bestätiger: Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzlich berufene Unternehmensleiter.

Sachbearbeiter: Jene Person(en), die im Unternehmen die jeweilige Verarbeitungstätigkeit(en) bearbeitet.

Prüfer: Die Person, die die DSFA bearbeitet. Es wird der User, der in HITGuard die DSFA anlegt, vorgeschlagen.

Versionsdatum: Hier muss ein Datum für die Version der DSFA eingetragen werden.

Versionsnummer: Hier muss eine Versionsnummer für die DSFA eingetragen werden. Das dient der Historisierung.

Zugeordnete Verarbeitungstätigkeiten:

• Hier können Verarbeitungstätigkeiten (VT) zu der DSFA zugeordnet werden. Die DSFA gilt für alle zugeordneten VT.
• Eine VT kann einer DSFA nur zugeordnet werden, wenn sie noch zu keiner DSFA gehört.
• Haupt-VT: Die Daten dieser VT werden in Folge der DSFA als Grundlage verwendet und ihre Inhalte wie z.b TOMs in die DSFA geladen. Es können weitere VTs mit der DSFA verknüpft werden, damit die DSFA auch für diese gültig ist. Die weiteren VTs sollten ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken beschreiben. Sobald mindestens eine VT verknüpft ist, muss eine davon als Haupt-VT gesetzt werden.
• Es stehen keine deaktivierten Verarbeitungstätigkeiten zur Auswahl.
• Wird eine Verarbeitungstätigkeit deaktiviert, dann wird diese hier als deaktiviert gekennzeichnet.

Die Erforderlichkeitsprüfung ist der Schritt zur Erkenntnis, ob für die zugeordneten Verarbeitungstätigkeiten eine DSFA durchgeführt werden muss.

Um einzuschätzen, ob eine DSFA notwendig ist, werden drei Fälle unterschieden:

1. Es handelt sich um eine Ausnahme von der DSFA
2. Die Erforderlichkeit der DSFA ist vorgegeben
3. Es wird eine Schwellwertanalyse durchgeführt um festzustellen, ob eine DSFA notwendig erscheint

Für verwandte Verarbeitungstätigkeiten kann eine DSFA-Erforderlichkeitsprüfung oder eine DSFA gelten. Dies ist dann der Fall, wenn die VTs ein ähnliches Risiko adressieren. Daher besteht die Möglichkeit bei den Überprüfungsdetails mehrere Verarbeitungstätigkeiten mit der DSFA zu verknüpfen. Die als "Haupt VT" gekennzeichnete Verarbeitungstätigkeit ist jene Basis, von der HITGuard in den DSFA-Schritten des Assistenten die erfassten Informationen aus der VT (z.B. Datenkategorien, verwendete Betriebsmittel etc.) heranzieht.

Es gibt Fälle, in denen es nicht notwendig ist, eine Datenschutz-Folgenabschätzung durchzuführen. Dazu zählen unter anderem:

Vorwegnahme: Wenn die Verarbeitungstätigkeiten vor Mai 2018 von der Datenschutzbehörde geprüft und genehmigt worden sind und sich nicht verändert haben, kann die Datenschutz-Folgenabschätzung entfallen.

Whitelisting: Wenn die Verarbeitungstätigkeit auf der Liste der Arten von Verarbeitungstätigkeiten steht, für die keine DSFA notwendig ist, die die Aufsichtsbehörde erstellen kann (Art. 35 Abs. 5), kann die Datenschutz-Folgenabschätzung entfallen.

Ähnlichkeitsprüfung: Wenn die Überprüfung ähnlicher Verarbeitungstätigkeiten aufgrund von Art, Umfang, Umständen und Zweck ähnlich hohe Risiken ergibt, dann kann eine Datenschutz-Folgenabschätzung gemeinsam vorgenommen werden (Art. 35 Abs. 1 DSGVO).

Je nachdem, ob es sich um eine Ausnahme handelt oder nicht, ist die Erforderlichkeitsprüfung hiermit abgeschlossen und die DSFA ist erledigt oder sie geht im nächsten Schritt weiter.

Wichtig:

• Wird "Ja" gewählt, muss begründet werden warum keine Datenschutz-Folgenabschätzung durchzuführen ist!
• "Ja" bedeutet, dass die Erforderlichkeitsprüfung abgeschlossen ist und keine weiteren Prüfschritte durchzuführen sind.
• Wird "Ja" gewählt, werden Schritt 6 Konsultationen und Schritt 7 DSFA-Ergebnis nicht deaktiviert, da diese Information trotzdem zu Zwecken der vollständigen Dokumentation optional dokumentiert werden kann. In Schritt 7 würde man dementsprechen die Option wählen, dass die Verarbeitungstätigkeit im Einklang mit den datenschutzrechtlichen Vorgaben steht.

Im Gegensatz zum vorherigen Punkt setzt dieser voraus, dass keine Ausnahme von der DSFA vorhanden ist.

Es gibt Fälle in denen es vorgeschrieben ist eine Datenschutz-Folgenabschätzung durchzuführen. Dazu zählen:

• Art. 35 Abs. 3 DSGVO: Betrifft die automatisierte Verarbeitung einschließlich Profiling, die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten bzw. strafrechtliche Verurteilungen und Straftaten sowie systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche.

• Nennung auf der Blacklist: Die Aufsichtsbehörde erstellt eine Liste an Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. Nach Veröffentlichung dieser Liste gilt es diese hier zu berücksichtigen.

Zusätzlich kann eine Begründung für die Entscheidung erfasst werden.

Wichtig: "Ja" überspringt den Punkt "Schwellwertanalyse", da die DSFA definitiv durchzuführen ist.

Sofern die Erforderlichkeit einer DSFA nicht durch eine klare Verpflichtung zur Durchführung bzw. Nicht-Durchführung vorgegeben ist, liegt es im Ermessen des Verantwortlichen die Erforderlichkeit der Durchführung der DSFA zu beurteilen. Dabei helfen die Angaben der Art. 29 Datenschutzgruppe. Die Handhabung der Liste der Kriterien ist mittels einer Faustregel wie folgt zu empfehlen: Ein hohes Risiko besteht jedenfalls, wenn mindestens zwei der Kriterien aus WP 248 (unten) oder mindestens eines der Kriterien aus Art. 35 DSGVO (oben) erfüllt sind. In diesem Fall sollte eine DSFA durchgeführt werden.

Um herauszufinden welche Kriterien erfüllt werden, sollte zuerst das Working Paper "248 Kriterien des europäischen Datenschutzausschusses" durchgegangen werden!

Im Anschluss muss entschieden werden, ob eine DSFA durchzuführen ist. Für diese Entscheidung muss eine Begründung festgehalten werden.

Die DSFA-Erforderlichkeitsprüfung sollte zu jeder Verarbeitungstätigkeit durchgeführt werden. Mit HITGuard können diese Überprüfungsschritte nachweislich dokumentiert werden. In manchen Fällen ist die Erforderlichkeitsprüfung für das Verarbeitungsregister zu dokumentieren. Die DSFA wurde aber bereits durchgeführt, wenn diese zum Beispiel gemeinsam mit einem externen Berater erstellt wurde. In diesem Fall möchten Sie ggf. keine weitere DSFA mehr in HITGuard dokumentieren. Für die zentrale Sammlung Ihrer Dokumente im Falle einer behördlichen Kontaktaufnahme möchten Sie alle Dokumente in HITGuard zusammenführen. In diesem Fall können Sie in diesem Schritt kennzeichnen, dass eine DSFA bereits erfolgt ist. Laden Sie den DSFA Bericht hier hoch und legen Sie fest, dass in HITGuard keine weiteren DSFA Dokumentationsschritte mehr durchzuführen sind.

Wichtig: Durch Setzen des "DSFA bereits durchgeführt" werden die nachfolgenden Schritte der DSFA deaktiviert, da die DSFA bereits vorhanden ist.

Wenn eine DSFA in HITGuard durchzuführen ist, sind zunächst die geplanten Verarbeitungstätigkeiten zu beschreiben.

Art. 35 Abs. 7 (a) DSGVO fordert eine systematische Beschreibung der geplanten Verarbeitungstätigkeiten inkl. dem Zwecke der Verarbeitung. Dazu wird Ihnen von HITGuard aus der Haupt-Verarbeitungstätigkeit der dort bereits erfasste Zweck der Verarbeitung geladen. Sie können diese Information um zusätzliche Informationen wie Einsatzgebiet, Nutzer, etc. ergänzen.

Auch die Zuständigkeiten für die Verarbeitung, wie den Verantwortlichen der Verarbeitungstätigkeit bzw. etwaige Auftragsverarbeiter und Informationen zur gemeinsamen Verarbeitung werden Ihnen aus der Haupt-VT präsentiert.

In diesem Punkt sind Normen und Standards anzuführen, die für die Verarbeitung herangezogen werden. Darunter fallen auch Richtlinien und Datenschutzzertifizierungen (Art. 42 DSGVO) sowie genehmigte Verhaltensregeln (Art 40 DSGVO).

Genehmigte Verhaltensregeln werden häufig als „Code of Conduct“ bezeichnet. Sie werden von einem Zusammenschluss, z.B. einem Verband oder Verein wie Berufsverbänden oder Kammern veröffentlicht. Der Zusammenschluss gibt die genehmigten Verhaltensregeln als verbindliche Vorgaben aus, um die datenschutzrechtliche Verhaltensweisen der Mitglieder festzulegen. In der DSFA ist zu beschreiben, ob es genehmigte Verhaltensregeln gemäß Art. 40 DSGVO gibt, zu denen das Unternehmen sich bekennen und deren Anforderungen sie umsetzen bzw. einhalten.

In der DSFA ist unter diesem Punkt eine detaillierte Darstellung der geplanten Verarbeitungstätigkeiten, einschließlich folgender Informationen zu finden:

• alle verarbeiteten personenbezogenen Daten inklusive der Angaben zu Betroffenenkategorien, Empfänger und der Informationen zur Aufbewahrung der Daten
• der dafür eingesetzten Informationssysteme (=Betriebsmittel)

HITGuard unterstützt Sie in diesem Punkt, da es alle relevanten Informationen dazu, die bereits in der Haupt-VT erfasst wurden, hier auflistet.

Hier kann außerdem eine detaillierte Beschreibung zu den eingesetzten IT-Betriebsmitteln erfasst werden. Weiters können Dokumente mit visualisierten Darstellungen zu IT-Betriebsmitteln und ihren Abhängigkeiten abgelegt werden.

In diesem Punkt der DSFA ist eine detaillierte Darstellung der geplanten Verarbeitungstätigkeiten, einschließlich folgender Informationen zu erfassen:

• Beschreibung der Prozessschritte für eine detaillierte Darstellung der Funktionsweise und der Abläufe der Verarbeitungstätigkeit
• Interne und externe Schnittstellen sowie Datenflüsse

Um die Erklärung zu verdeutlichen, können in diesem Schritt neben der Erfassung einer ausführlichen Beschreibung auch Dokumente, wie Datenflussdiagramme, hochgeladen und somit beigelegt werden.

In diesem Punkt der DSFA wird gemäß Art. 35 Abs. 7 b) DSGVO die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten begründet.

Dazu müssen mehrere Punkte geklärt werden:

• Beschreibung der Notwendigkeit und Verhältnismäßigkeit

Hier kann unter Berücksichtigung der nachfolgenden Informationen erklärt werden, warum die Verarbeitungstätigkeit für den Zweck notwendig und verhältnismäßig ist.

• Rechtmäßigkeit der Verarbeitung (Art. 5 Abs 1 a) DSGVO):

Hier werden die Rechtmäßigkeiten der Verarbeitungen der einzelnen Datenkategorien aufgelistet. (Datenkategorien aus Haupt-VT)

• Zweckbindungsprinzip (Art. 5 Abs 1 b) DSGVO):

Es muss erklärt werden, warum die Verarbeitungszwecke bestimmt, eindeutig definiert und rechtmäßig sind.

• Datenminimierung (Art. 5 Abs. 1 c) DSGVO):

Es muss erklärt werden, warum die erhobenen Daten erforderlich, notwendig und relevant sind.

• Richtigkeit (Art. 5 Abs. 1 d) DSGVO):

Es muss beschrieben werden, welche Schritte unternommen werden um die Qualität der Daten (Korrektheit, Aktualität etc.) sicherzustellen.

Es können Maßnahmen und Kontrollen, die die Qualität der Daten sicherstellen, verknüpft werden.

• Speicherbegrenzung (Art. 5 Abs. 1 e) DSGVO):

Es muss die Speicherdauer (Löschfrist) der Daten inklusive Begründung für diese angegeben werden. Dies erfolgt allerdings schon im Schritt "Daten und Betriebsmittel" und wird daher hier nicht angeführt.

In diesem Punkt der DSFA wird erfasst was unternommen wird, um die Persönlichkeitsrechte der Betroffenen zu gewähren.

Dazu müssen mehrere Punkte der DSGVO geklärt werden:

• Informationspflicht (Art 12-14 DSGVO) und Einwilligung des Betroffenen (Art. 6 DSGVO):

Es muss beschrieben werden, wie die Betroffenen über die Verarbeitung informiert werden, welche Informationen Ihnen auf welche Art und Weise zur Verfügung gestellt werden und wie die Einwilligung der Verarbeitung eingeholt wird, falls diese erforderlich ist.

Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Informationspflicht und Einwilligung des Betroffenen verknüpft werden.

• Betroffenenrechte (Art 13-22 DSGVO):

Es muss erklärt werden, wie Betroffene ihr Recht auf Auskunft, Berechtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragung und Widerspruch ausüben können.

Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Betroffenenrechte zugeordnet werden.

• Auftragsverarbeitung (Art 28 DSGVO):

Es muss erklärt werden, ob und warum die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt sind.

Dazu wird eine Liste der Auftragsverarbeiter angezeigt. Diese kommen aus der Haupt-Verarbeitungstätigkeit.

• Datenübermittlung in Drittländer (Art 44-49 DSGVO):

Es muss erklärt werden, ob Datenübermittlungen in Länder außerhalb der EU stattfinden sowie ob und wie diese Daten angemessen geschützt werden.

Dazu wird eine Liste der Empfänger in Drittländern angezeigt. Diese kommt aus der Haupt-VT.

• Standpunkt der Betroffenen

Es muss beschrieben werden, ob und wie der Standpunkt der Betroffenen erhoben wurde.

Falls er nicht erhoben wurde, muss dies begründet werden!

Bei der Risikobewertung werden Risiken für die Rechte und Freiheiten der betroffenen Personen analysiert. D.h. die Analyse des Risikos erfolgt aus der Sicht des Betroffenen und nicht des Unternehmens. Dabei werden Risiken identifiziert und bewertet. Dies erfolgt im Bereich des Risikomanagements von HITGuard. Die identifizierten Gefährdungslagen - die weitgehend dem in der DSGVO verwendeten Begriff des Risikos entsprechen - können hier mit der DSFA verknüpft werden.

Zu den identifizierten Gefährdungslagen werden in HITGuard Maßnahmen und Kontrollen zur Risikobehandlung beschlossen. Diese Maßnahmen und Kontrollen werden vom Tool selbstständig anhand der verknüpften Gefährdungslagen in der DSFA dargestellt.

In diesem Punkt wird erfasst, ob der Rat des Datenschutzbeauftragten eingeholt und die Datenschutzbehörde konsultiert wurde.

Gemäß Art. 35 Abs. 2 DSGVO hat der Verantwortliche bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten einzuholen, wenn ein Datenschutzbeauftragter benannt wurde. Diese Konsultation bzw. das Ergebnis daraus oder Gründe für ihre Nicht-Durchführung können und sollen hier dokumentiert werden.

Wenn aus einer DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde konsultieren, falls er keine Maßnahmen zur Eindämmung des Risikos trifft oder treffen kann. Auch dieser Schritt ist hier in HITGuard dokumentierbar indem dem sie die Entscheidung der Datenschutzbehörde erfassen bzw. auf den DSFA Bericht verweisen.

In diesem Punkt wird das Ergebnis der DSFA erfasst.

Hier kann ausgewählt werden, ob die zugeordneten Verarbeitungstätigkeiten im Einklang mit den Anforderungen der Datenschutzbestimmungen stehen und deswegen durchgeführt werden dürfen.

Wenn die Verarbeitungstätigkeiten aktuell nicht mit den Datenschutzbestimmungen im Einklang stehen, dürfen die Verarbeitungstätigkeiten nicht mehr durchgeführt werden. Deswegen besteht die Möglichkeit, Maßnahmen und Kontrollen zu erstellen und zuzuweisen, die dafür sorgen sollen, dass die Verarbeitungstätigkeiten in Einklang mit den Datenschutzbestimmungen gebracht werden. Dann dürfen sie wieder durchgeführt werden.

Das Ergebnis, welches hier ausgewählt wird, ist auch im letzten Schritt der zugeordneten Verarbeitungstätigkeiten ersichtlich.