In den letzten Jahren ist das Kundenvertrauen deutlich zurückgegangen. Laut einer Studie der SAS Deutschland aus dem Jahr 2015 lag das Kundenvertrauen in den gesetzeskonformen Umgang personenbezogener Daten im Versicherungsbereich bei 41%. Der überwiegende Teil befürchtet somit, dass seine Daten – ob fahrlässig oder vorsätzlich – zweckentfremdet genutzt werden. Ein bewusster und transparenter Prozess im Umgang mit personenbezogenen Daten hilft somit nicht nur, die Datensouveränität des Kunden zu gewährleisten, sondern auch, verlorengegangenes Vertrauen wieder zurückzugewinnen. Mit dem neuen Instrument der Datenschutz-Folgenabschätzung (DSFA) aus der DSGVO will der Gesetzgeber hier unterstützen.
Eine Datenschutz-Folgenabschätzung muss seit dem 25.05.2018 immer dann erfolgen, wenn
„eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. (DSGVO Art. 35 Abs. 1)
Sie sollte als ein laufender Prozess verstanden werden. Immer dann, wenn sich das Risiko für die betroffenen Personen verändert, wird eine Neubewertung der Risiken im Rahmen einer DSFA erforderlich.
Dabei gelten insbesondere die Risiken:
- Vernichtung
- Verlust
- Veränderung
- unbefugte Offenlegung von bzw.
- unbefugter Zugang zu
personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, als kritisch relevant (Erwägungsgrund 75 der DSGVO).
Eine entsprechende Analyse der Risiken sollte methodisch transparent und logisch nachvollziehbar sein. Die Rechenschaftspflicht (accountability) des für die Verarbeitung Verantwortlichen macht eine umfangreiche Dokumentation notwendig. Effizienz kann dabei durch Standardisierung (Templates, Fragebögen etc.), Automatisierung (toolunterstützt) und durch den Aufbau einer Knowledge Base (Risiken, Abhilfemaßnahmen) erreicht werden.
Studien belegen, dass trotz der zweijährigen Übergangsfrist noch viele Unternehmen die DSGVO nicht vollständig umgesetzt haben. Dies liegt zum einen an dem vielfach zu spät gewählten Startzeitpunkt für die Umsetzung, hat aber auch Ursachen in den oft nicht ausgereiften Compliance- und Risikomanagementsystemen, die in den Unternehmen im Einsatz sind.
Unternehmen sind daher gut beraten, wenn sie sich nach der Hektik der letzten Monate nun auf die Umsetzung einer transparenten Datenlogistik konzentrieren, die den Datenschutz miteinschließt.
In diesem Sinne kann man die DSGVO als Chance begreifen, um oft liegengebliebene Themenfelder wie Data-Governance, nachhaltige Dokumentation etc. wieder aufzugreifen.
Die DSFA bietet einen guten Einstieg, das Datenschutzrisiko systematisch zu analysieren. So muss beispielsweise vor Inbetriebnahme einer neuen Technologie das Rad nicht neu erfunden werden. Bestehende Konzepte zum Risikomanagement und zur IT-Sicherheit kann man mit Blick auf den Datenschutz erweitern. Es geht darum, das Risiko für die betroffenen Personen, welches durch die Datenverarbeitungsprozesse entsteht, zu erkennen zu bewerten und zu reduzieren.
Dabei wird der Begriff „Risiko“ in der DSGVO allerdings nicht explizit definiert. Die deutschen Aufsichtsbehörden beschreiben hingegen ein Risiko – abgeleitet aus der DSGVO – wie folgt:
„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“ (Kurzpapier Nr. 18 der Datenschutzkonferenz: Risiko für die Rechte und Freiheiten natürlicher Personen)
Im Rahmen einer Risikoanalyse zur Datenschutzverletzung gem. Artikel 5 der DSGVO werden sowohl die potenzielle Schadenursache, wie z.B. ein fehlendes Berechtigungskonzept als auch ihre jeweiligen Auswirkungen auf den Betroffenen betrachtet, wenn beispielsweise sensible Daten in die Hände nicht berechtigter Personen gelangen und unter Umständen zu einer Rufschädigung führen. Die Schwere dieser Auswirkung ist zu bewerten.
Bei der DSFA geht es im Kern um das Aufdecken von Risikoursachen (Eintrittswahrscheinlichkeit) und das Einschätzen ihrer Auswirkungen (Schwere des Ereignisses).
Der DSFA-Prozess sollte in jedes Projektvorgehen integriert werden und folgende Schritte durchlaufen:
- Schwellwertanalyse
- Vorbereitung
- Durchführung und Bewertung
- Nachverfolgung
Für die Schwellwertanalyse haben die Aufsichtsbehörden nach Artikel 35 Abs.4 der DSGVO sog. Black Lists herausgegeben, die einen Anhaltspunkt dafür bieten, ob eine DSFA durchgeführt werden muss.
Ergibt eine DSFA, dass trotz technischer und organisatorischer Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Restrisiko), muss nach Art. 36 DSGVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. Er trifft unter Berücksichtigung der Empfehlungen der Aufsichtsbehörde eine Entscheidung, ob die Verarbeitungsvorgänge angesichts der verbleibenden Restrisiken durchgeführt werden können oder ob weitere zusätzliche Abhilfemaßnahmen in diesem Fall zum Einsatz kommen sollen.
Die FINCON hat bei Kunden bereits einige DSFAen erfolgreich durchgeführt. Mit Checklisten und Templates können wir auch Ihnen die Arbeit erleichtern. Wir entwickeln an Ihren Bedürfnissen ausgerichtete Konzepte, beraten und unterstützen Sie von der Vor- und Anforderungsanalyse über die Planungsstufen bis hin zur Realisierung einer nachhaltigen DSGVO Compliance-Strategie. Unser Fokus ist es dabei, Ihre Fragen und Anforderungen aufzunehmen, Optimierungspotentiale zu identifizieren und risikoadäquate Lösungen zu entwickeln, die auf Ihre individuellen Vorstellungen abgestimmt sind. Profitieren Sie von unseren Erfahrungen.
Zu weiteren Fragen „Wie läuft eine DSFA ab und wer ist daran beteiligt?“ oder „Wie dokumentiere ich eine DSFA?“ gibt unser kürzlich erschienenes White Paper Antwort: Fordern Sie es unter DSGVO[at]fincon.eu kostenlos und unverbindlich an.
Zur Seite DSFA
Zu den Autoren:
Gordon Preuten ist Business Consultant bei FINCON und seit knapp 10 Jahren im Versicherungsumfeld mit den Schwerpunkten Vertriebssteuerung und Prozessoptimierung tätig. Für die Umsetzung der Datenschutz-Folgenabschätzung wählte er einen pragmatischen und nachvollziehbaren Ansatz, der sich schnell in bestehende Prozesse integrieren lässt. Aktuell entwickelt er die fachlichen Anforderungen einer Migration der Bestandssysteme im Bereich Krankenversicherung.
Dr. Anselm Schultze ist Senior Consultant bei der FINCON und beschäftigt sich seit über 20 Jahren u. a. mit Analytischen Informationssystemen und Data Governance. Bereits vor dem ersten Entwurf der DSGVO setzte er sich intensiv mit Konzepten und deren Umsetzung zum Datenschutz auseinander. Aktuell etabliert er bei einer Krankenkasse den DSFA-Prozess.