Die Durchführung einer DSFA

Die Durchführung einer DSFA

09/2018

Die Durchführung einer DSFA sollte grundsätzlich unternehmensintern stattfinden. Sofern vorhanden, ist der/die Datenschutzbeauftragte beratend hinzuzuziehen (Art 35 Abs 2, Art 39 Abs 1 lit c DSGVO). Die Zusammensetzung des durchführenden Teams wird je nach Organisationseinheit und Art der Verarbeitungstätigkeit variieren und kann daher nicht allgemein vorgegeben werden.

Für die Durchführung der DSFA und des damit gegebenenfalls verbundenen Konsultationsverfahrens mit der Datenschutzbehörde nach Art 36 DSGVO sind entsprechende Vorlaufzeiten einzuplanen. Komplexere Verfahren können einen mehrmonatigen Zeitraum in Anspruch nehmen.

Eine DSFA ist für Verarbeitungsvorgänge durchzuführen, wenn diese wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen und wenn sich deren Risiken in Hinblick auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung geändert haben.

Sanktionen, Geldbussen und/oder weitere Massnahmen werden grundsätzlich je nach den Umständen des Einzelfalls verhängt. Allgemein gilt jedoch, dass bei Verstössen gegen die Pflichten des Verantwortlichen gemäss Artikel 35 DSGVO Geldbussen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden können, je nachdem, welcher Betrag höher ist.

 

Schritt 1: Kriterien zur Prüfung, ob eine DSFA notwendig ist


1.1 Vorgaben aus der DSGVO

Gemäss Artikel 35 Absatz 3 DSGVO ist insbesondere in folgenden Fällen eine DSFA durchzuführen:

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschliesslich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen: Erwägungsgrund 71 DSGVO erwähnt in diesem Zusammenhang automatische Ablehnungen im Rahmen von Online-Einstellungsverfahren oder Online- Kreditanträgen ohne menschliche Prüfung.
  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäss Artikel 9 Absatz 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäss Artikel 10 DSGVO: Darunter fallen personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen. Zusätzlich sind biometrische und genetische Daten, Gesundheitsdaten, Daten zum Sexualleben sowie zur sexuellen Orientierung und Daten zu strafrechtlichen Verurteilungen bzw. Straftaten und damit zusammenhängende Daten über Sicherungsmassregeln umfasst (in Anlehnung an Erwägungsgrund 75 DSGVO).

  • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche: Darunter könnten Videoüberwachungsanlagen subsumiert werden, welche beispielsweise wesentliche Teile des öffentlichen Strassennetzes aufzeichnen.

 

1.2 Empfehlungen der Artikel 29-Gruppe
Die Artikel 29-Gruppe geht davon aus, dass bei Vorliegen von mindestens zwei der nachfolgend genannten Kriterien in den meisten Fällen eine DSFA erfolgen wird müssen. Es kann jedoch auch vorkommen, dass bereits die Erfüllung eines einzigen der unten genannten Kriterien die Pflicht zur Durchführung einer DSFA auslöst.

  • Bewerten oder Einstufen: Darunter fallen das Erstellen von Profilen und Prognosen, insbesondere auf der Grundlage von Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der Person betreffen (siehe Erwägungsgrund 71 DSGVO). Dieses Kriterium erfüllt beispielsweise eine Bank, welche Datenbanken von Kreditauskunfteien und/oder Betrugsdatenbanken und/oder Geldwäschedatenbanken nach ihren Kundinnen/Kunden durchsucht bzw. auch ein Unternehmen, das anhand der Nutzung seiner Website bzw. der Navigation der Website durch die Nutzer Verhaltens- oder Marketingprofile erstellt.

  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung: Darunter fallen Verarbeitungstätigkeiten, auf deren Grundlage für Betroffene Entscheidungen getroffen werden sollen, “die Rechtswirkung(en) gegenüber natürlichen Personen entfalten” oder diese “in ähnlich erheblicher Weise beeinträchtigen” (siehe Artikel 35 Absatz 3 Buchstabe a DSGVO). Dieses Kriterium ist erfüllt, wenn es zum Ausschluss oder zur Benachteiligung von Personen kommt. Verarbeitungstätigkeiten mit keinen oder wenigen Auswirkungen auf Personen fallen nicht unter dieses Kriterium. Weitere Ausführungen zu diesen Auffassungen/Vorstellungen sind in den Guidelines betreffend Profiling zu finden.

  • Systematische Überwachung: Darunter fallen Verarbeitungstätigkeiten, die die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel haben und beispielsweise auf über Netzwerke erfasste Daten zurückgreifen. Ein Beispiel könnte die systematische Überwachung der Arbeitsplatzrechner von Angestellten durch den Arbeitgeber sein. Des Weiteren sind Verarbeitungstätigkeiten umfasst, die die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel haben und beispielsweise auf „eine systematische [...] Überwachung öffentlich zugänglicher Bereiche“ zurückgreifen. Hier ist es für betroffene Personen oft kaum möglich, diese Verarbeitungstätigkeiten zu verhindern. Oftmals wissen die betroffenen Personen in solchen Situationen nicht einmal, wer ihre Daten wie verwendet (gemäss Artikel 35 Absatz 3 Buchstabe c DSGVO.

  • Verarbeitung von vertraulichen Daten oder höchstpersönlichen Daten: Damit sind einerseits jene Daten gemeint, welche in den Artikeln 9 und 10 DSGVO angeführt sind (Verarbeitung besonderer Kategorien personenbezogener Daten – wie beispielsweise Gesundheitsdaten – sowie Verarbeitung von personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten). Hierunter fällt beispielsweise eine von einer Krankenanstalt geführte Patientendokumentation. Andererseits fallen darunter auch Standortdaten, Finanzdaten, persönliche Dokumente, E-Mails, Tagebücher, Notizen aus E-Readern mit Notizfunktion sowie Informationen von Life-Logging-Anwendungen (gemäss Artikel 35 Absatz 3 Buchstabe b DSGVO.

  • Datenverarbeitung im grossen Umfang: Für die Ermittlung, ob Verarbeitungstätigkeiten im grossen Umfang vorliegen, sollten beispielsweise folgende Faktoren herangezogen werden: Zahl der Betroffenen, verarbeitete Datenmenge bzw. Datenelemente, Dauer der Datenverarbeitung und geografisches Ausmass der Datenverarbeitung.

  • Abgleichen oder Zusammenführen von Datensätzen: Damit sind Verarbeitungstätigkeiten gemeint, bei denen ein Abgleich bzw. eine Zusammenführung unterschiedlicher Datensätze zu unterschiedlichen Zwecken und/oder von verschiedenen für die Verarbeitung Verantwortlichen durchgeführt wurden. Zusätzlich muss der Abgleich bzw. die Zusammenführung in einer Weise stattfinden, der über die vernünftigen Erwartungen der Betroffenen hinausgeht.

  • Daten zu schutzbedürftigen Betroffenen: Die Verarbeitung dieser Art von Daten stellt auf Grund des grösseren Machtungleichgewichts zwischen Betroffenen und Verantwortlichen ein Kriterium dar. Hier geht es um Betroffene, die der Verarbeitung ihrer Daten nicht einfach zustimmen oder widersprechen können bzw. für die es nicht so leicht möglich ist, ihre Betroffenenrechte auszuüben. Zu den schutzbedürftigen Betroffenen gehören bspw. folgende Bevölkerungsgruppen: Kinder, Arbeitnehmer/innen, Teile der Bevölkerung mit besonderem Schutzbedarf (psychisch Kranke, Asylwerber/innen, Senioren/Seniorinnen, Patienten/Patientinnen) und Betroffene in Situationen, in denen ein ungleiches Verhältnis zwischen der Stellung des Betroffenen und der des Verantwortlichen vorliegt.

  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen: Damit sind Verarbeitungstätigkeiten gemeint, die innovative Methoden der Datenverarbeitung einsetzen, wie beispielsweise die Zugangskontrolle mit Hilfe eines Fingerabdrucks in Kombination mit einer Gesichtserkennung. Der Einsatz einer neuen Technologie kann ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person mit sich bringen und Grund für die Notwendigkeit einer DSFA sein. Auch Anwendungen des “Internet der Dinge” (IoT) können sich erheblich auf den Alltag und das Privatleben von Personen auswirken und somit eine DSFA obligatorisch machen.

  • Fälle, in denen die Verarbeitung an sich “die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert”: Dies beinhaltet Verarbeitungstätigkeiten, mit deren Hilfe Betroffenen der Zugriff auf eine Dienstleistung oder der Abschluss eines Vertrags gestattet, geändert oder verwehrt werden soll. Ein Beispiel dafür ist eine Bank, die anhand eines Abgleichs mit einer Datenbank einer Kreditauskunftei entscheidet, ob sie einem Kunden / einer Kundin einen Kredit gewährt.

Die Datenschutzbehörden haben Verordnungen zu erlassen, in denen Datenverarbeitungsvorgänge angeführt sind, für die jedenfalls eine DSFA (Blacklist) durchzuführen ist. Sie können zudem Listen veröffentlichen, in denen Datenverarbeitungsvorgänge angeführt sind, für die keine DSFA (Whitelist) durchzuführen ist (siehe Artikel 35 Absatz 4 und 5 DSGVO). Eine entsprechende Whitelist wird die österreichische Datenschutzbehörde voraussichtlich noch vor dem 25.5.2018 veröffentlichen.

Beispiel: Videoüberwachung im Eingangsbereich einer HIV-Beratungsstelle

Da von der Videoaufzeichnung vor allem Menschen mit einer HIV-Infektion betroffen sein werden, kommt es auch zu einer Verarbeitung von Daten schutzbedürftiger Betroffener. Die Verarbeitungstätigkeit hat des Weiteren die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel und greift auf eine systematische Überwachung öffentlich zugänglicher Bereiche zurück, weil auch der öffentliche Gehsteig im notwendigen Ausmaß mitumfasst ist. Die Abwicklung der Videoüberwachung (Erfassung, Speicherung, Wiedergabe) findet zudem mit Hilfe einer IT-Applikation statt und erfolgt somit systematisch.

Schritt 2: DSFA durchführen (gemäss Artikel 35 DSGVO)

2.1 Beschreibung und Bewertung der Vorgänge

2.1.1 Systematische Beschreibung
Bei der Durchführung der DSFA muss eine systematische Beschreibung der Verarbeitungsvorgänge erfolgen. Dazu ist es notwendig, die Verarbeitungsvorgänge (wie beispielsweise Erfassung, Speicherung, Veränderung, Übermittlung, Verknüpfung, Löschung) aufzulisten und zu erläutern. Dabei kann es hilfreich sein, schon bekannte Datensicherheitsmassnahmen sehr allgemein bei der Beschreibung der einzelnen Verarbeitungsvorgänge anzuführen.

Referenzen:

  • Artikel 4 Z 2 DSGVO
  • Artikel 35 Absatz 7 Buchstabe a DSGVO


2.1.2 Zweck
Zusätzlich sind die mit der Verarbeitungstätigkeit verfolgten Zwecke anzuführen. Denn personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung”). Zusätzlich müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Mass beschränkt sein („Datenminimierung“).

Referenzen:

  • Artikel 5 Absatz 1 Buchstabe b und c DSGVO
  • Artikel 35 Absatz 7 Buchstabe a DSGVO


2.1.3 Berechtigte Interessen
Stützt sich der Verantwortliche auf berechtigte Interessen, sind diese berechtigten Interessen zu erläutern. Ein berechtigtes Interesse liegt vor, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogene Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Referenzen:

  • Artikel 6 Absatz 1 Buchstabe f DSGVO
  • Artikel 35 Absatz 7 Buchstabe a DSGVO


2.1.4 Bewertung der Notwendigkeit und Verhältnismässigkeit
Des Weiteren hat eine Bewertung zu erfolgen, warum die Verarbeitungstätigkeit in ihrer konkreten Ausprägung mit den angeführten Verarbeitungsvorgängen für den genannten Zweck notwendig und verhältnismässig ist. Dabei sollte sich der Verantwortliche die Frage stellen, ob der Zweck der Verarbeitungstätigkeit wirklich nicht durch gelindere Mittel erreichbar ist, welche mit weniger personenbezogenen Daten auskommen. Ausserdem sollte aus der Bewertung der Notwendigkeit und Verhältnismässigkeit hervorgehen, dass bei der konkreten Ausgestaltung der Verarbeitungstätigkeit schon Datensicherheitsmassnahmen zum Einsatz kommen.

Referenzen:

  • Artikel 4 Z 2 DSGVO
  • Artikel 35 Absatz 7 Buchstabe b DSGVO


2.1.5 Standpunkt der betroffenen Personen einholen
Der Verantwortliche sollte gegebenenfalls den Standpunkt der betroffenen Personen einholen. Dabei erscheint es sinnvoll darauf zu achten, dass man von Mitgliedern unterschiedlicher Personenkategorien (Mitarbeiter/innen, Lieferant/innen, Kund/innen) Stellungnahmen erhält, sofern diese von der Verarbeitungstätigkeit betroffen sind. Die wesentlichen Aussagen und insbesondere Bedenken dieser Personen sollten dokumentiert werden.

Referenzen:

  • Artikel 35 Absatz 9 DSGVO


2.1.6 Rat des/der Datenschutzbeauftragten einholen
Hat der Verantwortliche eine/n Datenschutzbeauftragte/n bestellt, ist diese/r frühzeitig in die DSFA einzubinden. So kann der/die Datenschutzbeauftragte bei der Durchführung der DSFA schon in der Anfangsphase der DSFA beraten.

Referenzen

  • Artikel 35 Absatz 2 DSGVO
  • Artikel 39 Absatz 1 Buchstabe a und c DSGVO



Beispiel: Videoüberwachung im Eingangsbereich einer HIV-Beratungsstelle

2.1.1 Systematische Beschreibung (siehe auch Abbildung 1):

  • Erfassung von Videodaten im Eingangs- und Zutrittsbereich mit IP-Kameras. Die Erfassung erfolgt an Wochentagen nur zwischen 20.00 Uhr und 6.00 Uhr. An Wochenenden und Feiertagen erfassen die IP-Kameras durchgehend Videodaten. Im betroffenen Eingangs- und Zutrittsbereich befinden sich keine Arbeitsplätze. Die IP-Kameras sind nicht schwenkbar. Somit ist das Schwenken der IP-Kameras in die Richtung von Arbeitsplätzen nicht möglich.

  • Verschlüsselte kabelgebundene Übertragung der Videodaten zum Server.

  • Unverschlüsselte drahtlose Übertragung der Videodaten zum Server.

  • Verschlüsselte Speicherung der Videodaten am Server für drei Tage. Danach überschreibt das System automatisch die Videodaten. Der Server steht in einem Abstellraum. Vor allem Reinigungspersonal muss mehrmals täglich den Abstell- bzw. Serverraum betreten, um an benötigtes Reinigungsmaterial zu gelangen.

  • Die Videodaten werden weder einem Empfänger übermittelt oder offengelegt, noch wird ein Auftragsverarbeiter mit der weiteren Verarbeitung der Daten beauftragt.

  • Verschlüsselter Zugriff auf Videodaten über Unternehmensnetzwerk oder Internet. Die Videoaufzeichnungen können nur bestimmte Mitarbeiter/innen der IT-Abteilung und der Facility Management-Abteilung ansehen. Dafür ist für jede/n Mitarbeiter/in die Eingabe des korrekten Passworts erforderlich. Die Zugriffe, Änderungen und Löschungen hinsichtlich der Videoaufzeichnungen protokolliert das System lückenlos. Einmal jährlich erfolgt eine Kontrolle der Protokolle hinsichtlich Datenschutzverletzungen. Das heißt, es kommt zu einer Überprüfung, ob jeder Zugriff auch von einem konkreten Anlassfall abgedeckt ist.

Anmerkung/Referenz:

Das österreichische Datenschutzgesetz enthält in §§ 12, 13 DSG Bestimmungen zu besonderen Datensicherheitsmaßnahmen bei Bildaufnahmen. § 13 Abs 1 DSG normiert, dass der Verantwortliche dafür zu sorgen hat, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist. Gemäß § 13 Abs 2 DSG hat der Verantwortliche – außer bei Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren. § 13 Abs 3 DSG bestimmt, dass eine länger als 72 Stunden andauernde Aufbewahrung verhältnismäßig sein muss, gesondert zu protokollieren und zu begründen ist.


24

Abbildung 1: Schematische Darstellung der Verarbeitungstätigkeit „Videoüberwachung“

2.1.2 Zweck:

  • Digitale Videoüberwachung ohne Tondaten des Einganges samt Zutrittsbereich des Verwaltungsgebäudes der HIV-Beratungsstelle, Mustergasse 1, 1234 Musterort, Österreich zum Zweck des Eigentumsschutzes und des Verantwortungsschutzes, der Verhinderung, Eindämmung und Aufklärung strafrechtlich relevanten Verhaltens mit ausschließlicher Auswertung in dem durch den Zweck definierten Anlassfall.

2.1.3 Berechtigte Interessen:

  • Die HIV-Beratungsstelle geht aufgrund wiederholter Einbruchsversuche und Sachbeschädigungen in den letzten Monaten (teilweise mit Erfolg) davon aus, dass eine besondere Gefährdungslage besteht, die durch die beschriebene Videoüberwachung eingedämmt werden kann. Deswegen liegt ein berechtigtes Interesse der HIV-Beratungsstelle an der Videoüberwachung vor. Die Videoüberwachung dient dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden und reicht räumlich nicht über die Liegenschaft hinaus, mit Ausnahme einer zur Zweckerreichung unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen (Gehsteig).

Anmerkung/Referenz:

  • Das österreichische Datenschutzgesetz enthält in § 12 Abs 2 Z 4 DSG iVm § 12 Abs 3 DSG eine demonstrative Aufzählung von Fällen, in denen laut dem Gesetzgeber ein überwiegendes berechtigtes Interesse eines Verantwortlichen an einer Bildverarbeitung besteht. § 12 Abs 3 Z 1 normiert, dass “[…] eine Bildaufnahme [...] insbesondere dann zulässig [ist], wenn sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen[.]”

2.1.4 Bewertung der Notwendigkeit und Verhältnismäßigkeit:

  • Die HIV-Beratungsstelle sichert ihren Eingangs- und Zutrittsbereich mit einem Zugangskontrollsystem ab. Zusätzlich gibt es tagsüber (von 6.00 Uhr bis 20.00 Uhr) einen Empfangsdienst. In der Nacht (von 20.00 Uhr bis 6.00 Uhr) kommt eine Alarmanlage zum Einsatz. Außerdem überprüft ein externer Sicherheitsdienstleister mehrmals, ob es sicherheitskritische Ereignisse gibt. Die Fenster im Erdgeschoß sind vergittert. Es sind Anzeigen bei der örtlichen Polizeiinspektion hinsichtlich der letzten Einbruchsversuche und Sachbeschädigungen erfolgt. Trotzdem kommt es immer wieder zu Einbruchsversuchen und Sachbeschädigungen. Deswegen ist die Videoüberwachung notwendig. Mittels eines Aushanges in der HIV-Beratungsstelle werden die Betroffenen über ihre Rechte aufklärt und die Informationspflichten erfüllt. Die konkrete Ausgestaltung der Verarbeitungsvorgänge (siehe Beschreibung oben) soll die Verhältnismäßigkeit6 herstellen.


Kennzeichnung:

Eine verständliche Kennzeichnung weist die betroffenen Personen in Bildform darauf hin, dass die HIV-Beratungsstelle die Videoüberwachung verantwortet. Aus der Kennzeichnung ergibt sich auch, dass die HIV-Beratungsstelle die Videoaufzeichnung aufzeichnet, nur im Anlassfall auswertet und dass keine Gesichtserkennung im Rahmen der Videoüberwachung zur Anwendung kommt.7


Anmerkung/Referenz:

Das österreichische Datenschutzgesetz enthält in § 13 Abs. 5 DSG eine Kennzeichnungspflicht von Bildaufnahmen. Aus dieser Kennzeichnung muss zumindest die Identität des Verantwortlichen feststellbar sein. Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Artikel 15 DSGVO gleichzuhalten (§ 13 Abs. 7 DSG).


2.1.5 Standpunkt der betroffenen Personen einholen:

  • Die HIV-Beratungsstelle hat stichprobenartig den Standpunkt von betroffenen Personen eingeholt. Insgesamt hat die HIV-Beratungsstelle die in dieser Beschreibung dargelegten Informationen fünf Personen vorgelegt und um Stellungnahme gebeten. Darunter befanden sich ein Mitarbeiter der HIV- Beratungsstelle, zwei Mitarbeiterinnen von Lieferanten und zwei Personen, welche Beratungsleistungen bezogen haben. Die Rückmeldungen fielen allesamt positiv aus, da alle Personen die Notwendigkeit der Videoüberwachung nachvollziehen konnten und die konkrete Ausgestaltung ihres Erachtens auch verhältnismäßig ist. Es liegen schriftliche Gesprächsprotokolle vor.


Anmerkung/Referenz:

Im österreichischen Arbeitsverfassungsgesetz sind die Befugnisse des Betriebsrats geregelt. Für bestimmte Verarbeitungstätigkeiten hinsichtlich Mitarbeiterdaten muss der Abschluss von Betriebsvereinbarungen erfolgen. Auch wenn der Abschluss einer Betriebsvereinbarung nicht notwendig ist, hat eine frühzeitige Information des Betriebsrats über geplante Verarbeitungstätigkeiten, von denen auch Mitarbeiter/innen betroffen sind, zu erfolgen (siehe §§ 91 Abs. 2, 96 ff ArbVG). Deswegen bietet es sich auch im Rahmen der DSFA an, den Standpunkt des Betriebsrats einzuholen, wenn Daten von Mitarbeiter/innen betroffen sind und ein Betriebsrat vorhanden ist.


2.1.6 Rat des/der Datenschutzbeauftragten einholen:

  • Die HIV-Beratungsstelle hat eine/n Datenschutzbeauftragten bestellt. Deswegen hat die HIV- Beratungsstelle auch den Rat des/der Datenschutzbeauftragten bezüglich der Videoüberwachung im Eingangsbereich eingeholt. Diese/r bat um großflächige Kennzeichnung der Videoüberwachung. Aus dieser soll zusätzlich zur verpflichtenden Angabe des Verantwortlichen hervorgehen, dass das Videoüberwachungssystem die Videos aufzeichnet (also nicht nur Echtzeitaufnahmen erfolgen), eine Auswertung nur im Anlassfall stattfindet und Gesichtserkennung nicht zur Anwendung gelangt. Diesen Vorschlag hat die HIV-Beratungsstelle umgesetzt. Die Stellungnahme des/der Datenschutzbeauftragten liegt in Textform vor.


2.2 Risikobewertung

Bei der Risikobewertung werden mögliche Risiken für die Rechte und Freiheiten der betroffenen Personen identifiziert (Risikoidentifikation) und analysiert (Risikoanalyse). Die Risikobewertung erfolgt durch den DSFA- Durchführenden.

Es wird empfohlen, zumindest folgende Risiken zu bewerten:

  • Verlust der Vertraulichkeit (z. B. unbefugter Zugriff auf personenbezogene Daten)

  • Verlust der Integrität (z. B. unbefugte Veränderung von personenbezogenen Daten)

  • Verlust der Verfügbarkeit (Belastbarkeit) (z. B. Verlust von personenbezogenen Daten)


Im Zuge der Risikoanalyse wird der Risikowert ermittelt (= Höhe des identifizierten Risikos). In einem ersten Schritt werden die Eintrittswahrscheinlichkeit einer Bedrohung sowie die zu erwartenden Auswirkungen bewertet. Für die Bewertung der Eintrittswahrscheinlichkeiten und Auswirkungen werden seitens DSGVO keine Kategorien vorgegeben. Mögliche Einstufungs-Kategorien können beispielsweise wie folgt vorgegeben werden:


251

26


Untenstehend sind Beispiele für die Einschätzung der Auswirkungen aus Sicht der Betroffenen angeführt. Die vollständige Auflistung aller Beispiele ist im Bitkom-Leitfaden für “Risk Assessment & Datenschutz- Folgenabschätzung” ersichtlich.


27

Bei der Bewertung der Eintrittswahrscheinlichkeiten und Auswirkungen sollen alle bisher getroffenen technischen und organisatorischen Massnahmen berücksichtigt werden.

Anschliessend kann der Risikowert wie folgt berechnet werden:

Risikowert = Eintrittswahrscheinlichkeit einer Bedrohung mal zu erwartende Auswirkungen

Für die Berechnung des Risikowerts gibt die DSGVO keine Risiko-Matrix vor. Folgende Risiko-Matrix kann an dieser Stelle beispielsweise herangezogen werden:

28

Um dem laut Artikel 5 Absatz 2 DSGVO geforderten Datenschutz-Grundsatz der „Rechenschaftspflicht“ nachzukommen, wird empfohlen, im Zuge der Risikobewertung folgende Informationen zu dokumentieren:


10

2.3 Abhilfemassnahmen

Laut Artikel 35 Absatz 7 Buchstabe d DSGVO hat der Verantwortliche folgendes sicherzustellen:

„die zur Bewältigung der Risiken geplanten Abhilfemassnahmen, einschliesslich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“

Bei der Risikobehandlung gemäss Artikel 32 Absatz 1 DSGVO wird entschieden, wie mit identifizierten Risiken umgegangen werden soll. Dabei stehen folgende vier Risikobehandlungs-Optionen zur Verfügung:

  • Risikominimierung (durch Setzen von Massnahmen)

  • Risikovermeidung (durch Unterlassen der risikobehafteten Aktivität, z. B. Beendigung der Verarbeitung personenbezogener Daten in Cloud-Anwendungen)

  • Risikotransfer (durch Auslagerung von Risikofolgen auf Dritte, z. B. Versicherung bei Datenverlust)

  • Risikoakzeptanz (bewusste Entscheidung, keine weiteren Massnahmen zu treffen) Um dem laut Artikel 5 Absatz 2 DSGVO geforderten Datenschutz-Grundsatz der „Rechenschaftspflicht“  nachzukommen, wird empfohlen, im Zuge der Risikobehandlung folgende Informationen zu dokumentieren:


11


Beispiele für Massnahmenkataloge:


Nachfolgend sind gängige, dem Stand der Technik entsprechende Massnahmenkataloge angeführt, die bei der Auswahl von risikominimierenden Massnahmen unterstützen können:

  • ISO/IEC 27001:2013 - Information security management systems - Requirements, Annex A

  • ISO/IEC 27002:2013 - Code of practice for information security controls

  • BSI IT-Grundschutz - IT-Grundschutz-Kompendium

  • Massnahmenkatalog der CNIL

  • ISO/IEC 29151:2017 - Code of practice for personally identifiable information protection

  • WKO - IT-Sicherheitshandbuch für Mitarbeiterinnen und Mitarbeiter

2.4 Erneute Risikobewertung unter Berücksichtigung der getroffenen Massnahmen

In einem letzten Schritt soll das Risiko – unter Berücksichtigung der getroffenen Massnahmen – erneut bewertet werden.

12

Wenn aus der durchgeführten DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko für die Betroffenen zur Folge hätte und keine Massnahmen zur Eindämmung des Risikos mehr getroffenen werden können, muss vor der Aufnahme der Verarbeitung die Aufsichtsbehörde konsultiert werden.

13

Nach Fertigstellung der DSFA sollten die Ergebnisse dem Management bzw. der Geschäftsführung zur Abzeichnung und Genehmigung vorgelegt werden.



Beispiele: Videoüberwachung im Eingangsbereich einer HIV-Beratungsstelle

14


29


18


19

Schlussbemerkungen

Weiterführende Hinweise

Aufgrund der Rechenschaftspflicht gemäss Artikel 5 Absatz 2 und Artikel 24 Abs 1 DSGVO, der Vorgaben gemäss Artikel 35 Absatz 11 sowie der Empfehlungen der Artikel 29-Gruppe sollte die Aktualität der DSFA in regelmässigen Abständen überprüft werden. Laut Artikel 29-Gruppe ist die Durchführung einer DSFA keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. In jedem Fall ist eine Wiederholung der DSFA erforderlich, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.

Weiterführende Informationen zur Durchführung einer DSFA:

  • Leitfaden für den Prozess der Datenschutz-Folgenabschätzung gemäss ISO/IEC 29134:2017 Information technology -- Security techniques -- Guidelines for privacy impact assessment

  • BRD: Forum Privatheit White Paper DSFA (3. Aufl. 2017)

  • GDD-Praxishilfe DS-GVO X - Voraussetzungen der Datenschutz-Folgenabschätzung

  • Planspiel DSFA des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

  • CNIL, The open source PIA software



Privacyofficers.at; Autoren, bow, Zugriff 25.08.2018

https://www.privacyofficers.at/Privacyofficers_DSFA-Umsetzung_DSGVO_v1.0.pdf

Creative Commons https://creativecommons.org/licenses/by-nc-sa/4.0/deed.de

Hinweis zur Verwendung von Cookies
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Sie können die Verwendung von Cookies annehmen oder ablehnen. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung