Öffentliche Stellen verarbeiten viele sensible persönliche Informationen. Bei der Beantragung eines Passes werden neben dem Namen, dem Geburtsdatum und körperlichen Merkmalen auch biometrische Daten wie Lichtbild und Fingerabdrücke erfasst. Doch sind diese Daten geschützt gegen Hacking und Missbrauch? Kann es zu Identitätsdiebstahl, Rufschädigung oder finanziellen Verlusten kommen? Welche Risiken bestehen für die Rechte und Freiheiten einer Person, deren Daten verarbeitet werden?
Um die Risiken einer Datenverarbeitung schon im Vorfeld zu identifizieren, ist eine Datenschutz-Folgenabschätzung (DSFA) in jeder Kommune notwendig. Kennt man diese Risiken, so können Maßnahmen getroffen werden, um sie einzuschränken oder ganz zu vermeiden. Grundlage für die Datenschutz-Folgenabschätzung ist Artikel 35 der europäischen Datenschutzgrundverordnung (DSGVO). Hier ist ganz klar ausgedrückt: Hat die Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.
Die Bayerische Blacklist – Verarbeitungsvorgänge, die eine DSFA erfordern
Für jede Verarbeitungstätigkeit muss individuell geprüft werden, ob eine DSFA erforderlich ist. Ein Beispiel für ein Prüfschema ist in der Orientierungshilfe zur DSFA des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) enthalten. Ebenfalls vom BayLfD stammt die Bayerische Blacklist. Sie enthält eine Liste von Verarbeitungsvorgängen für den bayerischen öffentlichen Bereich, für die man als Kommune eine DSFA durchführen muss. Interessant für bayerische öffentliche Stellen ist auch Art. 14 des Bayerischen Datenschutzgesetzes (BayDSG). Dort stehen Fälle, bei denen es nicht erforderlich ist, eine DSFA durchzuführen. Das ist nämlich der Fall, wenn eine DSFA bereits von einer anderen öffentlichen Stelle erstellt wurde – etwa durch das fachlich zuständige Staatsministerium oder durch die AKDB.
Um die Risiken einer Datenverarbeitung schon im Vorfeld zu identifizieren, ist eine Datenschutz-Folgenabschätzung (DSFA) in jeder Kommune notwendig.
Die oberste Kommunalleitung ist für die DSFA verantwortlich
Grundsätzlich ist die Durchführung einer Datenschutz-Folgenabschätzung Aufgabe der obersten Leitung. Diese kann die Aufgabe aber delegieren. Der Verantwortliche stellt ein DSFA-Team zusammen, das aus fachlichen und technischen Experten besteht. Der Datenschutzbeauftragte einer Kommune hat die Aufgabe, das Team zu beraten. Eine Datenschutz-Folgenabschätzung muss mindestens folgende Inhalte aufweisen:
- eine Beschreibung des Verarbeitungsvorgangs
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen
Datenschutz-Folgenabschätzung durchführen: So geht’s
Grundlage für die Implementierung ist das Standard-Datenschutzmodell (SDM), das Gewährleistungsziele formuliert. Wenn eine Verarbeitungstätigkeit diese Ziele erreicht, dann arbeitet sie datenschutzkonform. Solche Ziele sind Datensicherheitsziele – wie Verfügbarkeit, Vertraulichkeit, Integrität – und Schutzbedarfsziele – Datenminimierung, Nichtverkettung, Transparenz und Intervenierbarkeit.
Es wird also geprüft, ob die Verarbeitungstätigkeit nur die unbedingt notwendigen Daten verwendet und sie nicht unrechtmäßig mit anderen Daten verknüpft oder verkettet. Darüber hinaus muss die Datenverarbeitung transparent sein und die von der Datenverarbeitung betroffenen Personen müssen ihre Rechte auf Intervenierbarkeit in Anspruch nehmen können – sie können Auskunft über ihre Daten einfordern oder Widerspruch gegen die Verarbeitung einlegen oder sogar die Löschung der Daten fordern. Auch die Sicherheit der Daten muss gewährleistet sein. Sie müssen vertraulich behandelt werden und jederzeit verfügbar und richtig sein. Werden im Verlauf der DSFA Risiken festgestellt, so müssen Maßnahmen dagegen getroffen werden.
In einem Bericht wird die jeweilige Verarbeitungstätigkeit anschließend beschrieben, deren Zwecke, Notwendigkeit und Verhältnismäßigkeit dargestellt und auf die Dokumente zur Risikominimierung verwiesen. Abschließend wird in einer Risikogesamtbewertung das Ergebnis der DSFA dargestellt.