DSFA – Wann brauchen Sie eine?
Für viele Unternehmen ist es ein grauenvoller Gedanke, dass sie eine Datenschutzfolgenabschätzung (DSFA) durchführen müssen, wenn sie einen neuen Prozess, ein neues Tool einführen wollen. Wir wollen mit diesem Blog-Beitrag dazu beitragen, den Schrecken vor einer DSFA zu nehmen und die Erforderlichkeitsprüfung selbst vorzunehmen. Wir hängen Ihnen zudem eine Checkliste für Ihre nächste DSFA an, damit Sie bequem prüfen können, ob Sie gut aufgestellt sind.
Tatsächlich kann eine DSFA sehr umfangreich sein und einigen Aufwand erfordern, je nachdem was für Daten verarbeitet werden und wie viele Verarbeitungen ein neuer Prozess oder ein Tool umfasst.
Zuerst einmal aber muss das Unternehmen überprüfen, ob überhaupt eine DSFA erforderlich und notwendig ist. Viele sind sich nicht sicher, wie man diese Erforderlichkeitsprüfung durchführt. Je nachdem, wie die Prüfung ausfällt, kann es auch sein, dass der Umfang einer DSFA – soweit überhaupt eine erforderlich ist – überschaubar ausfällt.
Was ist zu berücksichtigen?
1. Wurde ein neues Verarbeitungsverfahren von personenbezogenen Daten implementiert oder wurde ein bestehendes Verfahren wesentlich geändert?
Wird ein bestehendes Verfahren nur geringfügig geändert, kann es ausreichen, eine „light“ Version einer DSFA durchzuführen, denn man hat bereits Überprüfungen, auf die man zurückgreifen kann. Die Änderungen und Neuerungen sollten in jedem Fall hinsichtlich Risiken für die Rechte und Freiheiten natürlicher Personen überprüft werden.
2. Wurde bereits eine DSFA für einen ähnlichen Verarbeitungsvorgang mit einem ähnlich hohen Risiko durchgeführt?
Im Unterschied zu 1. handelt es sich hier um eine neue Verarbeitung, die jedoch in ihrer Art und Weise einer bereits bestehenden und überprüften sehr ähnlich ist. Gemäß Art. 35 Abs. 1 DSGVO darf man auf eine bestehende DSFA verweisen. Insbesondere müssen die Risiken, die mit der Verarbeitung verbunden sind ähnlich hoch/niedrig sein. Diese Vergleichbarkeit sollte am besten von einem Datenschutzberater geprüft werden. In jedem Fall ist die Prüfung und Feststellung der Vergleichbarkeit unbedingt zu dokumentieren.
3. Ist die Verarbeitung auf der Whitelist der Aufsichtsbehörden genannt?
Gemäß Art. 35 Abs. 5 DSGVO können Aufsichtsbehörden eine Liste mit Datenverarbeitungsvorgängen herausgeben, bei denen keine DSFA durchgeführt werden muss; eine sogenannte Whitelist. Eine gesetzliche Pflicht zur Erstellung der Whitelist besteht für die Aufsichtsbehörden. Aktuell sind keine Whitelists veröffentlicht.
4. Gibt es für die Verarbeitung eine Rechtsgrundlage/einen Erlaubnistatbestand?
Die Verarbeitung muss auf eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO gestützt werden können (zum Beispiel Vertragserfüllung, gesetzliche Verpflichtung, Einwilligung, berechtigtes Interesse). Gibt es keine Rechtsgrundlage/keinen Erlaubnistatbestand ist die Verarbeitung unzulässig. Damit ist auch eine DSFA überflüssig.
5. Ist die Verarbeitung auf der Blacklist der Datenschutzkonferenz (DSK) bzw. der Aufsichtsbehörden genannt?
Auf einer Blacklist sind die Verarbeitungen zu finden, für die zwingend eine DSFA durchzuführen ist. Sie wird auch Positivliste genannt. Die Erstellung der Black List/Positivliste ist gem. Art. 35 Abs. 4 DSGVO gesetzlich verpflichtend für die Aufsichtsbehörden.
Die DSK, das zentrale Gremium der deutschen Datenschutz-Aufsichtsbehörden, hat eine solche Positivliste veröffentlicht. Mit den aufgeführten Fällen muss die geplante Verarbeitung verglichen werden. Ist man der Meinung, dass die Verarbeitung aufgrund relevanter Unterschiede nicht unter die genannten Fälle zu fassen ist, muss die Argumentation dokumentiert werden. In dem Fall muss keine DSFA durchgeführt werden.
6. Hat die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge?
Liegt eins der in Art. 35 Abs. 3 DSGVO genannten Regelbeispiele vor?
Art. 35 Abs. 3 DSGVO:
„Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.“
Liegen diese Voraussetzungen nicht vor, muss weiter überprüft werden, ob ein Risiko für Rechte und Freiheiten natürlicher Personen vorliegt, einschließlich Identitätsdiebstahl, Diskriminierung etc., das als hoch einzuordnen ist. Hilfestellung für die Einordnung erhält man durch die Erwägungsgründe 75, 89 und 91; außerdem Erwägungsgrund 76. Liegt ein voraussichtlich hohes Risiko vor, ist eine DSFA durchzuführen. Dabei ist der Pflichtinhalt der DSFA zu berücksichtigen. Informationen zu Pflichtinhalt und Gestaltung erhält man ebenfalls über die oben genannten Erwägungsgründe. Auch hier kann es sinnvoll sein, die Unterstützung des internen oder eines externen Datenschutzberaters (DSB) hinzu zu holen.
Besonderheiten bei Chatbots und AI – Verwendung
a) Rechtsgrundlage erforderlich
Bei der Verwendung eines Chatbots, vor allem unter Einsatz einer AI, ist gerade die Rechtsgrundlage wichtig. Zunächst kommt Art. 6 Abs. 1 S. 1 lit. b DSGVO als Rechtsgrundlage in Betracht. Verarbeitungen sind zulässig, die zur Erfüllung der eigenen Verpflichtungen aus Verträgen oder zur Durchführung vorvertraglicher Maßnahmen erforderlich sind. Wenn Chatbots eingesetzt werden, besteht normalerweise entweder ein vertragliches oder ein vorvertragliches Verhältnis mit den Nutzer:innen des Chatbots.
Wichtig ist regelmäßig die individuelle Prüfung, ob der Einsatz eines Chatbots für die Vertragserfüllung erforderlich ist. Dies kann angenommen werden, wenn der Chatbot Leistungspflichten übernimmt/ausführt, die klar eingegrenzt sind.
Schwieriger wird es, wenn der Chatbot mehrere Verarbeitungen oder auch Verarbeitungen ausführt, die überwiegend allein den Interessen des verwendenden Unternehmens dienen. Besonders ist hier darauf zu achten, dass der Grundsatz der Zweckbindung eingehalten wird (Art. 5 Abs. 1 lit c DSGVO).
b) DSFA fast immer erforderlich
Die Verwendung eines Chatbots ist nach Art. 35 Abs. 1 S. 1 DSGVO immer dann ein Fall für eine DSFA, wenn die Verarbeitung mit besonders hohem Risiko für die Betroffenen verbunden ist. Hier ist wieder auf die Positivliste der DSK zurückzugreifen.
Ziffer 11 erwähnt den „Einsatz von künstlicher Intelligenz zur […] Steuerung der Interaktion mit den Betroffenen […]“. U.a. nennt die DSK ausdrücklich: „Kundensupport mittels künstlicher Intelligenz“. Übernimmt der Chatbot mehrere Aufgaben ist hier normalerweise von der Notwendigkeit einer DSFA auszugehen.
Lediglich bei einfach strukturierten Chatbots mit einer oder sehr wenig klar umrissenen Aufgaben kann man zu dem Ergebnis kommen, dass das Merkmal aus Nr. 11, der künstlichen Intelligenz, nicht erfüllt ist. Das Ergebnis sollten Sie dokumentieren.
Wenn die KI zum Beispiel nicht selbständig mit den Betroffenen interagiert und Auswertungen vornehmen kann, kann die Notwendigkeit einer DSFA entfallen.
Weiter sind die 9 Kriterien aus den Leitlinien der Art. 29 Datenschutzgruppe zu berücksichtigen, u.a. Bewertungen (Nr. 1), automatisierte Entscheidungsfindung (Nr. 2), Datenverarbeitung in großem Umfang (Nr. 5), oder auch die Anwendung neuer technologischer Lösungen (Nr. 8).
„Erfüllt ein Verarbeitungsvorgang zwei dieser Kriterien, muss der für die Datenverarbeitung Verantwortliche in den meisten Fällen zu dem Schluss kommen, dass eine DSFA obligatorisch ist“, heißt es in den Leitlinien.
Besonderheit Gesundheitsdaten
Besondere Sorgfalt ist bei der Verarbeitung von Gesundheitsdaten anzuwenden. Hier ist in den meisten Fällen von der Erforderlichkeit einer DSFA auszugehen. Bei der Einführung von Verarbeitungsarten für Gesundheitsdaten sollte zur Risikoeinschätzung fachlicher Rat hinzugezogen werden.
Sie benötigen Hilfe bei der Risikoeinschätzung neuer Verarbeitungsvorgänge in Ihrem Unternehmen?
Sprechen Sie uns gerne an, wenn Sie sich nicht sicher sind, ob Sie für geplante Verarbeitungsvorgänge eine DSFA durchführen müssen. Gerne unterstützen wir Sie auch bei der eigentlichen Durchführung und Dokumentation einer DSFA.
Wie versprochen finden Sie hier unsere Checkliste für Ihre nächste DSFA: https://comp-lex.de/media/2024/11/Checkliste-Erforderlichkeitspruefung-DSFA-2.pdf
Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:
- Abonnieren Sie unsere Tipps und Tricks.
- Lesen Sie unsere kostenlosen E-Books.
- Informieren Sie sich über unsere Leistungen.
- Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
- Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
Wir helfen Ihnen beim Datenschutz
Den Datenschutz im Unternehmen neben dem Tagesgeschäft im Auge und up to date zu halten, kann schwierig und belastend sein.
Wir helfen Ihnen dabei gerne, und uns macht das sogar Spaß! Ob Auftragsverarbeitung, Joint Controllership, das DSGVO-konforme Abbilden unternehmensinterner Datenflüsse, Datenschutzhinweise, Richtlinien und Datenschutzverpflichtungen für Ihr Team – wir helfen Ihnen dabei, diese Bereiche rechtssicher umzusetzen.
Wir können diese Aufgaben entweder „auf Zuruf“ als beratende Kanzlei übernehmen, oder in laufender Zusammenarbeit als bestellter externer Datenschutzbeauftragter. In dieser Funktion bieten wir Ihnen verschiedene pauschal vergütete Pakete an, vom „Basis“-Paket über das Paket „VIP“ inklusive regelmäßiger Besprechungstermine und Rabatte bis zum Flatrate-Paket „Premium“. Diese Pakete können wir individuell auf den Bedarf Ihres Unternehmens zuschneiden.
Sprechen Sie uns gerne dazu an oder schauen Sie sich hier unsere Leistungen an: https://service.comp-lex.de/externer-datenschutzbeauftragter/
Ihre Ansprechperson
Dr. Sonja Detlefsen
Lesen Sie hier weiter:
Die 30 wichtigsten Fragen und Antworten zur DSGVO
Ist Ihr IT-Unternehmen datenschutzrechtlich professionell aufgestellt? In diesem E-Book finden Sie die 30 wichtigsten Fragen und Antworten zur DSGVO!
E-Book: Der richtige Datenschutzbeauftragte für Ihr IT-Unternehmen
Viele IT-Unternehmen wissen nicht, welcher der richtige Datenschutzbeauftragte für sie ist. In diesem E-Book stellen wir alle Vor- und Nachteile bei der Wahl Ihres Datenschutzbeauftragten übersichtlich gegenüber. So finden Sie den richtigen Datenschutzbeauftragten für Ihr IT-Unternehmen.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich