Pierre FallerEin kurzer Überblick über die DPIA-Methodik
Dieser Artikel legt den Schwerpunkt auf ein neues Instrument, das zur Hälfte als Audit und zur anderen Hälfte als Projektmanagement definiert werden könnte. In Artikel 35 gibt die Datenschutz-Grundverordnung ein spezifisches analytisches Tool, das einem bereits etablierten Tool ähnelt. Bewerter kennen es als Informations- und Sicherheitsrisikomanagement. Bitte beachten Sie, dass in diesem Artikel die DSGVO Folgenabschätzungsmethodik nicht eingehend, Phase für Phase, geprüft wird. Vielmehr erhalten Sie einen Überblick über alle Phasen einer solchen Bewertung. Andere Artikel dieser Serie erklären die Einzelheiten jeder Phase.
Natur der DSFA
Falls Sie den Artikel “Die Rolle des DSB” gelesen haben, haben Sie vielleicht bemerkt, dass die Rolle des DSB recht horizontal ausgelegt ist, vermischt mit rechtlichen, bewertenden, technischen und kommunikativen Fähigkeiten. Die DSFA ist an für sich eine Verkörperung einer solchen Mischung. Da die DSFA Datenverantwortliche als auch -auftragsverarbeiter in ihrem Verfahren umfasst, könnten wir des Weiteren auch davon ausgehen, dass die DSFA ein perfektes Tool für die Sicherstellung der Verantwortlichkeit und der Rechenschaftspflicht in einem Unternehmen darstellt.
Es besteht die rechtliche Verpflichtung, eine Bewertung durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die betroffene Person führt (Artikel 35 DSGVO). Angesichts der Geschäftsbeteiligung und der Entwicklung von IT-Systemen ermöglicht ein Risikomanagementansatz den Organisationen die erforderlichen Kontrollen zu ermittelt. Dieses wird ermöglicht durch die Analyse der Verarbeitung, der Priorisierung der Risiken und durch deren angemessenen Umgang, um Kosten zu optimieren und Entscheidungen treffen zu können. Schließlich hilft die DSFA einem Unternehmen, die Umsetzung von Datenschutzprinzipien darzustellen. Folglich können wir fairerweise zugeben, dass eine DSFA ein Compliance-Tool ist, das vor der Durchführung der Verarbeitung zu verwenden ist (Ex-ante-Analyse).
Ein kurzer Überblick über die Methodik
Eine DSFA besteht normalerweise aus mehreren Phasen. Jede dieser Phasen analysiert ein spezifisches Merkmal Ihrer Datenverarbeitung anhand einer Reihe von Kontrollen und Überprüfungen. Wenn Sie sich jemals gefragt haben, was ein Pilot und Co-Pilot tun, bevor sie abheben: sie überprüfen die Instrumente anhand einer Checkliste, die eine Reihe von geregelten und überprüften Kontrollen enthält. Eine DSFA ist dem ähnlich, hat aber im Gegensatz zu einer Checkliste für Flugzeuge eine gewisse Flexibilität.
Eine DSFA ist anpassungsfähig an die Tiefe der Bewertung, die Sie durchführen möchten, dies bedeutet, dass für die einzelnen Bewertungselemente kein Zeitrahmen angegeben ist. Mit anderen Worten, wenn Ihr Bewertungsteam Zeit darauf verwenden möchte, Kontrollen auszuarbeiten oder nach Bedrohungen für die Verarbeitung zu suchen und diese zu untersuchen, sollten Sie sie dies tun lassen, da zu erwarten ist, dass das Ergebnis dieser Analyse Abhilfe schaffen wird. In Bezug auf die Methodik enthält Artikel 35 Absatz 7 der Verordnung die zu prüfenden Mindestelemente, die nachstehend in fünf Phasen beschrieben werden:
- Phase 1 ist im Grunde eine detaillierte Auflistung der Datenverarbeitung, die die verwendeten Daten, die Einzelheiten derer Verantwortlichen und Auftragsverarbeiter, deren rechtliche Grundlage oder die auf die Daten angewendete Speicherungsdauer umfasst. Sie weist Ähnlichkeiten mit dem alten Meldungsformat auf, das eine Anforderung der Richtlinie 95/46 EG darstellt, welche nach dem 25.Mai 2018 wegfallen wird.
- Phase 2 identifiziert die Rechts- und Risikobehandlungskontrollen, die derzeit durchgeführt werden. Diese Phase umfasst das derzeit bestehende Maßnahmenpaket aus rechtlicher, technischer, physikalischer und organisatorischer Sicht. Ziel ist es mögliche Risiken, die vor der Durchführung der Datenverarbeitung identifiziert werden können, zu kontrollieren. Wenn Ihr Unternehmen, zum Beispiel die Richtlinie für den Zugriff auf Geschäftsräume nicht überprüft hat (z. B. Ausweisausstellung, Zugriffsprotokolle usw.), müssen Sie dies wahrscheinlich zuerst durchführen, bevor Sie die Gültigkeit einer solchen Richtlinie auf einen neu erbauten/erstellten Bereich der Geschäftsräume oder ein neues System erweitern.
- Phase 3 führt die Risikoquellen für die Datenverarbeitung an. Sie wirft folgende Frage auf: “Wird mein Geschäft durch diese neue Datenverarbeitung einen Schaden erleiden und wenn dem so ist, wie und wann wird ihm dieser Schaden zugeführt?” Diese Phase legt ihren Schwerpunkt auf mögliche Verletzungen der Privatsphäre (z. B. Erleiden eines Schadens durch falsche Daten oder eine Datenschutzverletzung) und die Einschätzung von Unternehmensrisiken, Rufschädigung oder finanzielle Kosten. Es verlangt nach Vorstellungskraft, vor allem wenn es darum geht, nach Risikoquellen Ihres Unternehmens zu suchen. Fall Sie eine Bank führen, liegt eine Ihrer Risikoquellen darin, dass Ihre Datenbank gehackt und in betrügerischer Weise auf sie zugegriffen werden könnte. Es ist ein Sicherheitsrisiko an sich, birgt aber auch ein finanzielles Risiko für Ihre Aktien, denn aus der Sicht Ihrer Kunden stellt dies ein Risiko für Ihren Ruf dar.
- In Phase 4 geht es um die Analyse und Auflistung möglicher negativer Vorkommnisse und Bedrohungen für die Datenverarbeitung. Diese Phase unterscheidet sich von Phase 3 dadurch, dass sie sich auf personenbezogene Daten betroffener Personen und auf mögliche Auswirkungen der neuen Verarbeitung dieser Daten konzentriert. Wenn die Ereignisse intern oder extern, menschlich oder nichtmenschlich (technisch) sind, ist diese Phase in Bezug auf technologische Entwicklung relevant. Bei neuen Technologien fehlt es möglicherweise an einer klaren Einführung von datenschutzfreundlichen Sicherheitsvorkehrungen, so dass betroffene Personen in dem Falle Bedrohungen wie Hacking, Phishing und Spamming ausgesetzt sind. Ihr Zweck ist die Festlegung, welcher Art von Bedrohung Ihre Verarbeitung ausgesetzt sein könnte. Lassen Sie uns annehmen, dass Sie der Direktor eines großen Krankenhauses sind. Die Gesundheitsakten Ihrer Patienten enthalten sensible Daten. Eine menschliche Bedrohung wäre in diesem Falle der Zugriff auf diese Akten durch falsches Personal aus den falschen Gründen und eine nichtmenschliche Bedrohung wäre, dass das vom Krankenhaus verwendete Betriebssystem 10 Jahre ohne Updates betrieben wird. Im ersten Fall könnten Sie einen unbefugten und betrügerischen Zugriff befürchten, während Sie im zweiten Falle eine Cyber-Attacke auf Ihr Betriebssystem befürchten können. Letztendlich wäre die ärztliche Schweigepflicht gegenüber Ihren Patienten gefährdet, würden Sie diese Bedrohung nicht beheben.
- Abschließend ist Phase 5 im Format eines Berichtes und fasst die Analysen, die bestehenden Kontrollen, Risiken, denen Ihr Unternehmen ausgesetzt sein könnte und die Bedrohungen für personenbezogene Daten zusammen. Der Bericht beschreibt die Möglichkeiten der Organisation, wie mit jedem identifizierten Risiko, jeder Bedrohung und jeder Schwachstelle umzugehen ist. Sie gibt an, ob die einzelne Option dazu führt, dass das Risiko eliminiert, reduziert oder als solches akzeptiert wird. Der Bericht wird aufgezeichnet, aufbewahrt und den obersten Managern Ihrer Organisation dargelegt. Diese Manager entscheiden dann, ob Maßnahmen unternommen wurden oder unternommen werden müssen und verfolgen deren Durchführung. Wir möchten an dieser Stelle anmerken, dass solche Berichte dazu beitragen, dass Sie dem Grundsatz der DSGVO nach Rechenschaftspflicht nachkommen.
Mehrwert einer DSFA
Eine DSFA stellt einen Mehrwert für Ihr Unternehmen dar. Es mag erscheinen, dass sie eine langwierige und zeitraubende Übung sei. Während jedoch eine DSFA “grünes Licht” bezüglich der Einhaltung bestimmter Datenverarbeitungen gibt, verschafft sie aber auch eine Voranalyse Ihrer Verarbeitung durch internes Personal, das an der DSFA beteiligt ist, gleichzeitig zeigt sie gegenüber den nationalen Behörden und Kunden guten Glauben.
Solch eine Bewertung bietet eine wirksame Gelegenheit, Dokumente zu überprüfen, die Umsetzung Ihres Projektes vorzubereiten, Ihre Richtlinien zu erstellen oder anzupassen, technische Aspekte zu verbessern und Ihre Kontrollen zu verstärken. Kurz gesagt, ermutigt die DSFA Ihre Mitarbeiter, sich über den Schutz personenbezogener Daten in Ihrem Unternehmen auszutauschen und ihr Bewusstsein darüber zu stärken.
Beachten Sie, dass Sie Ihren Datenschutzbehörden die Einhaltung der Bestimmungen nachweisen müssen. Diese Behörde wird über Ihre Bewertungen Bescheid wissen, da Sie diese aufzeichnen müssen. Im Falle eines Audits in Ihren Räumlichkeiten können Sie guten Glauben zeigen, indem Sie diese Aufzeichnungen erstellen. Des Weiteren versichern Sie Ihren Kunden, dass Sie die Daten der betroffenen Personen und Ihren guten Ruf schützen.
Klicken Sie hier, um Ihr kostenloses EU DSGVO Implementierungs-Diagramm herunterzuladen um zu erfahren, wo sich die DSFA in den gesamten Prozess einfügt.