Datenschutz-Folgenabschätzung (DSFA) - Datenschutzrisiken systematisch identifizieren, bewerten und notwendige Massnahmen definieren

Datenschutz-Folgenabschätzung (DSFA) / Privacy Impact Analyse (PIA)

Datenschutz-Folgenabschätzung (DSFA)

Das Risikomanagement wird in vielen Bereichen eingesetzt (Informationssicherheit, Sicherheit, Finanzen, Versicherungen…). Im Datenschutzbereich muss eine Implementierung dieses Ansatzes im Kontext der Privatsphäre erfolgen. Eine Privacy Risk Management Methodik muss den internationalen Risikomanagement-Standards entsprechen und natürlich in globalen Risikomanagement-Ansätze integrieren lassen. Die Datenschutz-Folgenabschätzung (DSFA) bzw. die Privacy Impact Analyse (PIA) ist nichts anderes als eine Risikoanalyse im Kontext des Datenschutz.

Im Bereich der Privatsphäre sind nur die Risiken zu berücksichtigen, die sich aus der Verarbeitung personenbezogener Daten ergeben. Diese Risiken setzen sich aus einem befürchteten Ereignis (vor was fürchten wir uns?) und allen Risiken zusammen, welches ein solches Ereignis möglich machen (wie kann das passieren?). Das befürchtete Ereignis beschreibt die Situation und die möglichen Auswirkungen im betrachteten Kontext (Privacy Impact Analyse (PIA)).

Der Privacy Risk Management / Privacy Impact Analyse Ansatz (Datenschutz-Folgenabschätzung (DSFA)

digitale ausfallrisiken, cyber risiken, ausfallrisiken, cyber, risiken

Die Verwendung einer Risikomanagement-Methode ist die sicherste Art und Weise, um Objektivität und Relevanz bei der Einschätzung der Risiken im Datenschutz sicherzustellen. Um die Risiken einschätzen zu können, müssen zuerst befürchtete Ereignisse identifiziert und in Bezug auf den Schweregrad eingeschätzt werden. 

Die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist nicht trivial. Die Informationsgrundlagen, die man zu diesem Thema findet, sind auch sehr dürftig – jedenfalls richtig gute Informationen. Die RM Risk Management AG hat sich intensiv mit dem Thema DSFA befasst. Bei einer Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Es ist grundsätzlich wichtig zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit einer Risikoanalyse, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Trotzdem muss dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). 

Es gibt sie nicht, die „Eine“, die richtige oder falsche Vorgehensweise für die Durchführung einer Datenschutz-Folgenabschätzung. Neben der DSGVO gibt es sogar eine internationale ISO Norm dazu. Die ISO/IEC 29134 (Guideline for privacy Impact assessment) stellt dazu ein Regelwerk bereit.

Bevor man sich im Detail mit einer Datenschutz-Folgenabschätzung (DSFA) auseinandersetzt, ist es unerlässlich, die Grundpfeiler der Risikoanalyse zu verstehen. Die Datenschutz-Folgenabschätzung ist nämlich nichts anderes als eine Risikobewertung. Das heissst, Sie müssen sich zuvor überlegen, wie Sie Schaden und Eintrittswahrscheinlichkeit konkret definieren, bevor sich an die Erfassung möglicher Risikoszenarien machen. Dazu braucht es geeignete Massstäbe und Metriken bzw. Schadenskategorien und Schadensklassen.

 

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) / Privacy Impact Analyse durchzuführen?

  • Wenn Ihre Datenverarbeitungsprozesse ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
  • Insbesondere beim Einsatz neuer Informationstechnologien die, voraussichtlich ein hohes Risiko für den Betroffenen hat.
  • Die Datenschutz-Folgenabschätzung (DSFA) / Privacy Impact Analyse (PIA) ist vor Beginn der Datenverarbeitungstätigkeit durchzuführen.
  • Entscheidend ist, ob ein hohes Risiko für den/ die Betroffenen resultier/ resultieren.
  • Es macht deshalb durchaus Sinn, eine zweistufige Bewertung durchzuführen:
  1. Kurze Analyse direkt beim Datenverarbeitungsprozess
  2. Falls ein hohes Schadenausmass potentiell möglich ist, dann weitere Risikoprüfungen durchführen

 

 

Vorgehensweise bei der Durchführung der Datenschutz-Folgenabschätzung (DSFA)

 

Integration Datenschutz-Folgenabschätzung (DSFA) ins bestehende Enterprise Risikomanagement

Die Vorgehensweise ist nicht als einmalig zu verstehen. Eine Datenschutz-Folgenabschätzung (DSFA) / Privacy Impact Analyse (PIA) muss regelmässig durchgeführt werden. Es kann durchaus sein, dass sich über die Zeit, einzelne Bewertungsparameter verändern. Die Datenschutz-Folgenabschätzung kann in vier Schritten erfolgen:

  • Vorbereitung: Datenverarbeitungsprozess beschreiben, Zusammenstellung DSFA Team
  • Durchführung: Erfassung und Bewertung der Risiken
  • Umsetzung: Umsetzung beschlossene Massnahmen
  • Überprüfung: Regelmässiges Überprüfen, z.B. jährliche Überprüfung der Datenschutz-Folgenabschätzung
 

Wir empfehlen Ihnen, die Datenschutz-Folgenabschätzung (DSFA) / Privacy Impact Analyse (PIA)  nicht als separates Tool zu sehen. Integrieren Sie die Datenschutz-Folgenabschätzung in ein bestehendes Risikomanagement (z.B. Enterprise Risk Management). Achten Sie unbedingt darauf, die speziellen Anforderungen der Datenschutz-Folgenabschätzung zu berücksichtigen. Schadenskritierien und Eintrittswahrscheinlichkeiten sollten Sie global für das Unternehmen definieren. Es ist darauf zu achten, dass Sie keine unterschiedlichen Werte für die DSFA und das restliche Risikomanagement haben.

Datenschutz-Folgenabschätzung (DSFA) / Privacy Impact Analyse - Beratung / Coaching oder fachliche Unterstützung?

Sie starten ein Datenschutzprojekt bzw. eine Datenschutz-Folgenabschätzung (DSFA) / Privacy Impact Analyse und brauchen fachliche Unterstützung? Sie möchten das bestehende Datenschutz Management überprüfen lassen? Sie suchen einen Projektleiter, Experten, Berater oder Spezialisten? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.

 

 Kontaktieren Sie uns oder rufen Sie uns an  +41 44 360 40 40.