DSFA: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Seminarziel

Die Teilnehmenden erlernen die kriteriengeleitete Identifikation von DSFA-pflichtigen Prozessen und deren methodische Durchführung. Ziel ist es, eine vollständige DSFA-Dokumentation inklusive Risikobewertung und Maßnahmenplan zu erstellen, die den Anforderungen der Aufsichtsbehörden entspricht und das Haftungsrisiko bei der Einführung risikoreicher Technologien minimiert.

Inhalt

• 1. Wann ist eine DSFA erforderlich? (Schwellenwertanalyse)
  • Die 9 Kriterien des EDSA: Scoring, automatisierte Entscheidungsfindung, Sensible Daten etc.
  • Blacklists & Whitelists: Die Muss-Listen der Aufsichtsbehörden (Art. 35 Abs. 4).
  • Pre-Check: Systematische Prüfung zur Feststellung der DSFA-Pflicht.
• 2. Methodik und Standards im Vergleich
  • CNIL-Methode: Der französische Ansatz mit Fokus auf Bedrohungsszenarien.
  • BSI-Standard-Datenschutzmodell (SDM): Die deutsche Methode basierend auf Gewährleistungszielen.
  • ISO/IEC 29134: Internationale Leitlinien für die Datenschutz-Folgenabschätzung.
• 3. Beschreibung der Verarbeitungstätigkeit
  • Datenflüsse: Detaillierte Darstellung der Erhebung, Verarbeitung und Speicherung.
  • Kontext: Einbezug von Empfängern, Drittlandtransfers und eingesetzten Sub-Systemen.
  • Zweckbestimmung: Prüfung der Notwendigkeit und Verhältnismäßigkeit (Art. 35 Abs. 7b).
• 4. Risikoidentifikation: Bedrohungen für Betroffene
  • Rechte & Freiheiten: Was genau ist das Risiko? (Diskriminierung, Identitätsdiebstahl, Kontrollverlust).
  • Schadensszenarien: Einschätzung von Eintrittswahrscheinlichkeit und Schweregrad des Schadens.
  • Stakeholder-Einbindung: Befragung von Betroffenenvertretern oder Fachabteilungen.
• 5. Maßnahmen zur Risikominimierung
  • Technische Maßnahmen (TOMs): Verschlüsselung, Anonymisierung, Zugriffskontrolle.
  • Organisatorische Maßnahmen: Schulungen, Richtlinien, Audit-Prozesse.
  • Privacy by Design: Integration von Schutzmechanismen direkt in die Systemarchitektur.
• 6. Bewertung des Restrisikos
  • Netto-Risiko: Analyse der verbleibenden Gefährdung nach Umsetzung aller Maßnahmen.
  • Akzeptanzkriterien: Ab wann ist ein Restrisiko für das Unternehmen tragbar?
  • Dokumentation: Formale Begründung der Risikoentscheidung für das Management.
• 7. DSFA für KI-Systeme und der AI Act
  • Besonderheiten: Intransparenz ("Black Box"), Bias und automatisierte Entscheidungen.
  • Synergien: Verknüpfung der DSFA mit der Konformitätsbewertung nach dem AI Act.
  • Monitoring: Erfordernis einer kontinuierlichen Überprüfung dynamischer KI-Modelle.
• 8. DSFA für Cloud-Services (SaaS/IaaS)
  • Herausforderung: Fehlende Kontrolle über die zugrundeliegende Infrastruktur.
  • Drittlandtransfer: Bewertung von Zugriffen durch Behörden in Nicht-EU-Staaten (TIS).
  • Vertragskontrolle: Prüfung von AVVs und Standardvertragsklauseln als Teil der DSFA.
• 9. Konsultation der Aufsichtsbehörde (Art. 36)
  • Trigger: Wann ist die Einbindung der Behörde bei hohem Restrisiko zwingend?
  • Ablauf: Vorzulegende Unterlagen, Fristen und mögliche Reaktionen der Behörde.
  • Vermeidungsstrategie: Wie man Projekte so anpasst, dass eine Konsultation entfällt.
• 10. Praxis-Workshop: "The PIA Lab"
  • Workshop: Durchführung einer DSFA für einen praxisnahen Fall (z.B. KI-Chatbot oder Videoanalyse).
  • Tool-Task: Nutzung von Software-Lösungen wie dem CNIL PIA-Tool oder Excel-Templates.
  • Review-Task: Gegenseitige Prüfung von DSFA-Berichten auf Plausibilität und Vollständigkeit.
  • Final Roadmap: Checklist für die kontinuierliche Fortschreibung (Review-Zyklen).