DSFA:
Ampel für den Datenschutz


[27.1.2022] Die Datenschutz-Folgenabschätzung (DSFA) bereitet vielen Kommunen Kopfzerbrechen. Der Landesbeauftragte für Datenschutz in Bayern hat eine praktikable Methode ausgearbeitet, die auch für nichtbayerische Kommunen hilfreich ist.

DSFA-Bericht zeigt, ob die Datenschutz-Ampel auf Rot steht. Der Landesbeauftragte für Datenschutz in Bayern (BayLfD) liefert auf seiner Website konkrete Hilfestellung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Zu finden sind zahlreiche Dokumente, die einen Überblick über das Vorgehen bei einer DSFA geben. Außerdem gibt es Musterformulare mit Ausfüllbeispielen.
Das Dokument „Orientierungshilfe“ zeigt anhand eines Prüfschemas, wie Kommunen prüfen können, ob eine DSFA erforderlich ist, und gibt einen Überblick über die Erstellung. Das Dokument „Methodik und Fallstudie“ beschreibt die Ziele des Standard-Datenschutzmodells und zeigt, wie eine Risikoanalyse durchgeführt wird. Hier wird auch erklärt, wie man über die Risikoanalyse zur Gesamtrisikobewertung einer Datenverarbeitung gelangt und welche Mindestpositionen der DSFA-Bericht enthalten muss. Besonders anschaulich: An einem praktischen Beispiel wird eine DSFA im Personalamt der Stadt Fiktivia durchgespielt. Als Praxishilfe werden fünf Module bereitgestellt, die Musterformulare und Ausfüllbeispiele enthalten, sowohl für die Erforderlichkeitsprüfung als auch für den DSFA-Bericht und die Risikoanalyse.
Allerdings ist nicht für jede Datenverarbeitung eine DSFA erforderlich. Ob dies der Fall ist, kann man über das Formular „DSFA-Erforderlichkeitsprüfung“ auf der Website des BayLfD prüfen. Darin wird abgefragt, ob es eine Ausnahme von der Durchführung einer eigenen DSFA gibt, etwa wenn eine solche bereits für einen ähnlichen Verarbeitungsvorgang mit vergleichbaren Risiken vorliegt, oder ob der Verarbeitungsvorgang auf der Blacklist der Aufsichtsbehörde steht.

Analyse der Risikofaktoren

Verneint man diese Punkte, so folgt eine eigene Risikoabschätzung nach den „Leitlinien zur Datenschutz-Folgenabschätzung“ der ­europäischen Artikel-29-Gruppe. Darin wird unter anderem gefragt, ob durch die Datenverarbeitung Personen systematisch überwacht und kontrolliert werden, ob vertrauliche Daten oder Daten schutzbedürftiger Personen verarbeitet werden oder ob es sich um eine innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen handelt. Das ausgefüllte Formular „DSFA-Erforderlichkeitsprüfung“ dient als Nachweis gegenüber einer Aufsichtsbehörde, dass die Notwendigkeit einer Datenschutz-Folgenabschätzung für eine Verarbeitungstätigkeit geprüft wurde.
Ist diese notwendig, muss festgestellt werden, welche Risiken für die Rechte und Freiheiten von Personen durch die Verarbeitungstätigkeit bestehen. Dazu schlägt der BayLfD eine Analyse vor, in der ­Risikoszenarien erarbeitet und Schwach­stellen und Risikoquellen der Verarbeitungstätigkeit betrachtet werden. Geprüft wird, ob die Verarbeitungstätigkeit die Ziele des Standarddatenschutzmodells der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder erfüllt. Das sind zum einen Datensicherheitsziele – Verfügbarkeit, Vertraulichkeit und Datenintegrität – und zum anderen Schutz­bedarfsziele: Datenminimierung, Intervenierbarkeit, Transparenz, Nicht­verkettung, Konzeptionseinhaltung und Richtigkeit. Die Zielerfüllung wird anhand eines Ampelsystems bewertet.
Nach einer ersten Risikobetrachtung sollten Maßnahmen erarbeitet werden, die Risiken minimieren. Danach wird die Verarbeitungstätigkeit ein zweites Mal bewertet. Auch hierbei wird das Ampelsystem verwendet. Die Ergebnisse der zweiten Risikoanalyse fließen als Risikogesamtbewertung in den DSFA-Bericht ein.

Risikogesamtbewertung mit Ampelsystem

Maßnahmen, die den Risiken für die Rechte und Freiheiten von Personen entgegenwirken, lassen sich drei Kategorien zuordnen:
• Maßnahmen, die in der Software voreingestellt sind (Privacy by Default), etwa ein System zur Vergabe eines Passworts oder einer Zwei-Faktor-Authentisierung, zur Einrichtung eines Berechtigungskonzepts oder zur Protokollierung.
• Technische Maßnahmen, die im Rechenzentrum oder den Server-Räumen, in denen die Software betrieben wird, umgesetzt werden müssen (Privacy by Design). Dazu zählen zum Beispiel die regelmäßige Datensicherung, eine unterbrechungsfreie Stromversorgung oder der Einbau einer Firewall.
• Auch die Kommune selbst muss zur Risikominimierung beitragen, indem sie beispielsweise vor Ort dafür sorgt, dass die Mitarbeitenden regelmäßig Schulungen zu Datenschutz und Informationssicherheit erhalten, dass Besuchern keine Einsicht in vertrauliche Daten gewährt wird und Unberechtigte keinen Zutritt zu sicherheitsrelevanten Gebäude­teilen erhalten.
Die Zusammenfassung der Datenschutz-Folgenabschätzung erfolgt im DSFA-Bericht. Darin werden Informationen zur Verarbeitungstätigkeit gegeben und der Kontext sowie die grundlegenden Prinzipien der Datenverarbeitung beschrieben. Schließlich folgt die Risikogesamtbewertung, die aus der Risikoanalyse resultiert. Die Verarbeitungstätigkeit ist datenschutzkonform, wenn die Ampel der Risikogesamtbewertung auf Grün oder Gelb steht. Steht die Ampel dagegen auf Rot, muss der Datenverarbeitungsvorgang noch einmal gründlich überprüft oder der Rat der Aufsichtsbehörde eingeholt werden. Der DSFA-Bericht listet am Ende alle Maßnahmen zur Risiko­minimierung noch einmal auf, die in der Risikoanalyse festgelegt wurden.

Carola Meier ist zertifizierte Datenschutzbeauftragte (TÜV Süd) bei der GKDS Gesellschaft für Kommunalen Datenschutz mbH.

Dokumentationen, Muster und Ausfüllbeispiele zur Datenschutz-­Folgenabschätzung finden Sie hier. (Deep Link)
Dieser Beitrag ist im Titel der Ausgabe Januar 2022 von Kommune21 erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: IT-Sicherheit, Datenschutz, DSFA, Bayern, BayLfD

Bildquelle: hkama/adobe.stock.com

Druckversion    PDF     Link mailen


 Anzeige

handelsblatt2204-banner
Weitere Meldungen und Beiträge aus dem Bereich IT-Sicherheit
Märkischer Kreis: Hoher Stellenwert der IT-Sicherheit
[19.5.2022] Wie wird die IT-Sicherheit in einer Kreisverwaltung gewahrt? Im Märkischen Kreis tagte der Digitalausschuss und gibt nun Einblicke in einen bereits länger zurückliegenden Trojaner-Angriff und die danach eingeleiteten Maßnahmen, berichtet aber auch über die aktuelle Bedrohungslage. mehr...
Die Bedrohungslage im Bereich IT-Security hat sich mit Beginn des Ukraine-Krieges weiter verschärft – auch im Märkischen Kreis.
OZG: Verpasste Chance für mehr IT-Sicherheit?  Bericht
[19.5.2022] Den Security-by-Design-Ansatz hat das OZG nicht beschrieben, eine Verordnung zur Sicherung der eingesetzten IT trat erst 2022 in Kraft. Dabei verarbeitet gerade die Verwaltung besonders sensible Daten. Behörden sollten die Bürgerkommunikation deshalb von sich aus durchgängig verschlüsseln. Ein Kommentar von FTAPI-COO Ari Albertini. mehr...
Digitaler Impfnachweis: Reichlich Lücken im System Bericht
[12.5.2022] Der digitale Impfnachweis wurde in Deutschland mit allzu heißer Nadel gestrickt – und zeigt daher in puncto Sicherheit und Zuverlässigkeit erschreckend viele Mängel. Die Sicherheitslücken nachträglich zu stopfen, ist schwierig bis unmöglich. mehr...
Mit heißer Nadel gestrickt: der digitale Impfnachweis.
BSI: Virtuelle Roadshow Kommunen startet
[6.5.2022] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Sächsische Staatskanzlei haben die Roadshow Kommunen gestartet – eine virtuelle Wanderausstellung für mehr Informationssicherheit, die vom BSI bundesweit mit interessierten Bundesländern durchgeführt wird. mehr...
Exterro: Vorteile einer cloudbasierten IT-Forensik
[3.5.2022] Nach einem Cyber-Angriff oder einer Datenschutzverletzung kommt die Analyse. Das Unternehmen Exterro, Anbieter einer Legal-GRC-Software für E-Discovery, digitale Forensik und Cybersecurity-Compliance, stellt die Vorteile zentraler Forensik-Lösungen für Firmen und Behörden vor. mehr...
Nach Cyber-Attacken müssen IT-Forensiker häufig enorme Datenmengen untersuchen. Cloudbasierte Forensik-Tools können dabei unterstützen.
Weitere FirmennewsAnzeige

E-Invoicing: Was 2022 auf Kämmereiabteilungen zukommt
[2.5.2022] Annahme und Verarbeitung von E-Rechnungen, Portallösungen und PEPPOL, das neue Umsatzsteuerrecht für Kommunen – mit einigen dieser Themen haben Kämmereiabteilungen schon seit längerem zu tun, andere sind neu bzw. werden weiter ausgebaut. So bringt das laufende Jahr für alle in der kommunalen Verwaltung, die mit Steuern, Haushalt und Finanzen zu tun haben, technische wie auch gesetzliche Neuerungen. mehr...
Suchen...

 Anzeige

vereon2204-cont

 Anzeige

vereon2204-cont

Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von Kommune21 allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wir haben an dieser Stelle eine Bitte an Sie:
Die gegenwärtige Situation macht einmal mehr deutlich, wie wichtig das Thema Digitalisierung auch in Ihrer Verwaltung, Behörde oder Schule ist. Kommune21 berichtet seit 20 Jahren über alle wichtigen Themen der IT-gestützten Verwaltungsmodernisierung und hilft, die Digitalisierung im Public Sector transparent und besser zu gestalten. Bitte prüfen Sie über Ihre Buchhaltung, ob Sie bereits ein reguläres Abonnement von Kommune21 haben. Wenn nicht, dann freuen wir uns, wenn Sie gerade in diesen Zeiten ein Abonnement in Betracht ziehen. Danke!

Kommune21, Ausgabe 05/2022
Kommune21, Ausgabe 04/2022
Kommune21, Ausgabe 03/2022
Kommune21, Ausgabe 02/2022

Ausgewählte Anbieter aus dem Bereich IT-Sicherheit:
NCP engineering GmbH
90449 Nürnberg
NCP engineering GmbH
ITEBO GmbH
49074 Osnabrück
ITEBO GmbH
Net at Work GmbH
33104 Paderborn
Net at Work GmbH
Aktuelle Meldungen