Más contenido relacionado
La actualidad más candente (14)
Similar a Datenschutz-Folgenabschätzung (10)
Más de Michael Rohrlich (20)
Datenschutz-Folgenabschätzung
- 2. ©2022 Privacy Xperts
Datenschutz-Folgenabschätzung
Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de
zugelassen als Rechtsanwalt
seit 03/2003
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
geprüfter Datenschutz-
auditor (Haufe) seit 02/2022
HR Data Protection Manager
(Beck) seit 07/2021
Data Protection Risk
Manager (FOM) seit 10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat des
Webmasters Europe e.V.
seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
- 6. ©2022 Privacy Xperts
Einführung
Art. 5 Abs. 1 lit. f) DSGVO
„Personenbezogene Daten müssen […]
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und
organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“
- 7. ©2022 Privacy Xperts
Einführung
Art. 32 Abs. 1 DSGVO
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der
Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der
unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
und Freiheiten natürlicher Personen treffen der Verantwortliche und der
Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein
dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen
schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der
Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu
ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung
der Sicherheit der Verarbeitung.“
- 8. ©2022 Privacy Xperts
Einführung
Art. 32 Abs. 2 DSGVO
„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken
zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob
unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder
unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu
personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise
verarbeitet wurden.“
- 9. ©2022 Privacy Xperts
Einführung
Art. 32 Abs. 2 DSGVO
„Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken
zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob
unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder
unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu
personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise
verarbeitet wurden.“
Art. 4 Nr. 12 DSGVO
„‘Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der
Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum
Verlust, zur Veränderung, oder zur unbefugten Offenlegung von
beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten
führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet
wurden“
- 10. ©2022 Privacy Xperts
Einführung
Art. 35 Abs. 1 DSGVO
„Hat eine Form der
Verarbeitung, […]
voraussichtlich ein hohes Risiko
für die Rechte und Freiheiten
natürlicher Personen zur Folge,
so führt der Verantwortliche
vorab eine Abschätzung der
Folgen der vorgesehenen
Verarbeitungsvorgänge für den
Schutz personenbezogener
Daten durch.“
Art. 35 Abs. 1 DSGVO
„[…] insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des
Umfangs, der Umstände und der Zwecke
der Verarbeitung […]“
hohes Risiko für die
Betroffenen, nicht für
den Verantwortlichen
- 15. ©2022 Privacy Xperts
Schwellwertanalyse
Art. 32 Abs. 1 DSGVO
„Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und
Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der
Verantwortliche und der Auftragsverarbeiter geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten […]“
ErwGr. 76 DSGVO
„Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang,
die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko
sollte anhand einer objektiven Bewertung beurteilt werden, bei der
festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko
birgt.“
- 19. ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [1/2]
Diskriminierung
Identitätsdiebstahl oder -betrug
finanzieller Verlust
Rufschädigung
Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten
unbefugte Aufhebung der Pseudonymisierung
sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile
unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen
grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO)
Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)
Verarbeitung einer großen Menge von Daten
große Anzahl von Betroffenen
©2022 Privacy Xperts
Schwellwertanalyse
- 20. ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [2/2]
Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile),
insbesondere von
Arbeitsleistung
wirtschaftliche Lage
Gesundheit
persönliche Vorlieben / Interessen
Zuverlässigkeit
Verhalten
Aufenthaltsort / Ortswechsel
©2022 Privacy Xperts
Schwellwertanalyse
- 21. ErwGr. 85 DSGVO – potentielle Schäden
physischer, materieller oder immaterieller Schaden, z.B.
Verlust der Kontrolle eigener Daten
Einschränkung der Betroffenenrechte
Diskriminierung
Identitätsdiebstahl oder –betrug
finanzielle Verluste
unbefugte Aufhebung der Pseudonymisierung
Rufschädigung
Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
©2022 Privacy Xperts
Schwellwertanalyse
- 24. ©2022 Privacy Xperts
Risikoeinstufung
Art. 35 Abs. 1 DSGVO
„Hat eine Form der Verarbeitung […] voraussichtlich ein hohes Risiko für die Rechte
und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz
personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher
Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung
vorgenommen werden.“
- 25. ©2022 Privacy Xperts
Risikoeinstufung
Checkliste DSFA
keine Ausnahme (Art. 35 Abs. 5, 10)?
Verarbeitung auf Positivliste
(Art. 35 Abs. 4)?
Regelbeispiel i.S.v. Art. 35 Abs. 3?
hohes Risiko gem. Leitlinien
der Art.-29-Gruppe (wp248)?
sonstiges hohes Risiko
i.S.v. Art. 35 Abs. 1?
- 26. ©2022 Privacy Xperts
Risikoeinstufung
Ausnahme gem. Art. 35 Abs. 5 DSGVO?
„Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von
Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine
Datenschutz-Folgenabschätzung erforderlich ist.“
Bsp. Whitelist Österreich
• Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
• Personalverwaltung
• Mitgliederverwaltung
• Kundenbetreuung und Marketing für eigene Zwecke
• Sach- und Inventarverwaltung
• Register, Evidenzen, Bücher
• Zugriffsverwaltung für EDV-Systeme
• …
- 27. ©2022 Privacy Xperts
Risikoeinstufung
Ausnahme gem. Art. 35 Abs. 10 DSGVO?
„Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer
Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der
Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den
konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge
regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im
Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-
Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach
dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden
Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.“
- 28. ©2022 Privacy Xperts
Risikoeinstufung
Bsp. Positivliste für den nicht-öffentlichen Bereich (DSK) gem. Art. 35 Abs. 4 DSGVO
Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke
große Anwaltssozietät / große Arztpraxis
Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse
von Umgebungssensoren
Fraud-Prevention-Systeme
Scoring durch Auskunfteien, Banken oder Versicherungen
Betrieb von Bewertungsportalen
Inkassodienstleistungen – Factoring
Geolokalisierung von Beschäftigten
Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
Kundensupport mittels künstlicher Intelligenz
Telefongespräch-Auswertung mittels Algorithmen
Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO
Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
- 29. ©2022 Privacy Xperts
Risikoeinstufung
Regelbeispiel i.S.v. Art. 35 Abs. 3 DSGVO
systematische & umfassende Bewertung persönlicher Aspekte natürlicher
Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet
und die ihrerseits als Grundlage für Entscheidungen dient, die
Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in
ähnlich erheblicher Weise beeinträchtigen,
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen
Daten gem. Art 9, 10 DSGVO
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
- 30. ©2022 Privacy Xperts
Risikoeinstufung
hohes Risiko i.S.d. Leitlinien der Art.-29-Gruppe (wp248)
Evaluierung- oder Scoring-Maßnahmen
automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den
Betroffenen (Profiling)
systematische Beobachtung von Betroffenen
Verarbeitung besonderer Kategorien personenbezogener Daten
in großem Umfang verarbeitete personenbezogene Daten
Abgleich bzw. Kombination versch. Datensätze
personenbezogene Daten verletzlicher Datensubjekte
Einsatz neuartiger Lösungen / Technologien
Übermittlung personenbezogener Daten in Drittstaaten
Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu
machen oder einen Dienst / Vertrag zu nutzen
- 31. ©2022 Privacy Xperts
Risikoeinstufung
DSFA (+) DSFA (-)
Verarbeitung med. Daten durch
Krankenhaus
Verarbeitung med. Daten durch
Einzelarzt
Kameraüberwachung auf
Schnellstraßen
Abonnenten-Liste eines Online-
Magazins
system. Überwachung von
Beschäftigten durch Arbeitgeber
Profilbildung durch auf Website
eingebundene Werbeanzeigen
Profilbildung mit öffentl.
zugänglichen Daten aus sozialen
Netzwerken
Betrieb einer Bonitätsdatenbank
Beispiele
aus
wp248
der
Art.-29-Gruppe
- 34. ©2022 Privacy Xperts
Durchführung der DSFA
frühzeitige Hinzuziehung des DSB (Art. 35 Abs. 2 DSGVO)
„Der Verantwortliche holt bei der Durchführung einer Datenschutz-
Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher
benannt wurde, ein.“
- 35. ©2022 Privacy Xperts
Durchführung der DSFA
Rückfragen bei Betroffenen (Art. 35 Abs. 9 DSGVO)
„Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen
Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung
unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der
Sicherheit der Verarbeitungsvorgänge ein.“
- 36. ©2022 Privacy Xperts
Durchführung der DSFA
Mindest-Inhalt der DSFA (Art. 35 Abs. 7 DSGVO)
systematische Beschreibung der geplanten Verarbeitungsvorgänge & der
Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten
berechtigten Interessen
Bewertung der Notwendigkeit & Verhältnismäßigkeit der
Verarbeitungsvorgänge in Bezug auf den Zweck
Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl.
Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der
Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO
eingehalten wird
- 37. ©2022 Privacy Xperts
Durchführung der DSFA
Checkliste
Anlass der Durchführung der DSFA
Zweck der Datenverarbeitung
Rechtsgrundlage der Datenverarbeitung
Beschreibung der Datenverarbeitung
Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung
Bewertung des Risikos der Datenverarbeitung für die betroffenen Personen
Darstellung der geplanten Maßnahmen zur Abhilfe des Risikos
Testbetrieb
Change-Management
Ergebnis
Wiedervorlage
- 38. ©2022 Privacy Xperts
Durchführung der DSFA
PDCA-Zyklus (Art. 35 Abs. 11 DSGVO)
„Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu
bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung
durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den
Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten
sind.“
- 39. ©2022 Privacy Xperts
Durchführung der DSFA
Konsultation der zust. Aufsichtsbehörde (Art. 36 Abs. 3 DSGVO)?
ggf. Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der
gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten
Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer
Gruppe von Unternehmen
die Zwecke und die Mittel der beabsichtigten Verarbeitung
die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß
dieser Verordnung vorgesehenen Maßnahmen und Garantien
ggf. die Kontaktdaten des DSB
die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
alle sonstigen von der Aufsichtsbehörde angeforderten Informationen
- 42. ©2022 Privacy Xperts
Praxistipps
Praxistipps / Hilfestellungen
BayLDA: Durchführung einer DSFA gem. Art. 35 in Anlehnung an die ISO/IEC
29134
Datenschutzzentrum: Durchführung einer DSFA gem.
Art. 35 mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“-
Verfahrens
GMDS: Beispiel für eine DFSA gem. Art. 35 (Krankenhaus-Informationssystem)
BayLfD: Beispiel DSFA Erforderlichkeitsprüfung / DSFA-Bericht
Forum Privatheit: Whitepaper DSFA
GDD: Praxishilfe XIV
Fraunhofer Institut: Handbuch zur DSFA (kostenfrei)
DSK: Kurzpapier Nr. 5
Corona Warn App: Bericht zur DSFA