Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Datenschutz-Folgenabschätzung in 4 Schritten: Anleitung für Excel und Alternative

Eine Datenschutz-Folgenabschätzung (DSFA) in Excel zu erstellen ist eine bewährte Methode, um alle dafür erforderlichen Angaben sauber zu dokumentieren. Dieser Blogartikel enthält eine detaillierte Anleitung, die Schritt für Schritt aufzeigt, wie eine DSFA mit bereits verfügbaren Tools wie Excel umgesetzt werden kann. Wir stellen darüber hinaus auch eine effiziente technologische Alternative vor, mit der eine DSFA noch effizienter durchgeführt werden kann.

von Dennis Kurpierz, Co-Founder & COO
22. April 2024
 | 
Anleitung für Datenschutz-Folgenabschätzung mit Excel und Alternative

Was ist eine Datenschutz-Folgen­abschätzung und warum wird sie durchgeführt?

Die Datenschutz-Folgenabschätzung (DSFA) ist mehr als eine formelle Anforderung der DSGVO. Sie ist für Unternehmen ein nützliches Risikomanagement-Instrument, um technische und organisatorische Maßnahmen (TOM) von risikobehafteten Verarbeitungstätigkeiten zu prüfen. Indem die DSFA idealerweise bereits systematisch in die Entwicklung neuer, datenbasierter Produkte und Dienstleistungen einbezogen wird, kann sie nicht nur bei der Identifikation verborgener Datenschutzrisiken unterstützen, sondern fördert auch die Optimierung von Geschäftsprozessen und die Einhaltung datenschutzrechtlicher Vorschriften.

Wann eine Datenschutz-Folgen­abschätzung durchgeführt werden muss

Eine Datenschutz-Folgenabschätzung ist nach Art. 35 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) dann erforderlich, wenn eine Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ mit sich bringt. Die erste Einschätzung beginnt mit der sogenannten Schwellwertanalyse, einem Verfahren, das in zwei wesentlichen Schritten durchgeführt wird:

1.

Überprüfung der DSFA-Muss-Liste: 
Zunächst bedarf es einer Klärung, ob die geplante Verarbeitungstätigkeit auf der sogenannten "Blacklist" oder “DSFA-Muss-Liste” steht. Ist dies der Fall, ist eine Datenschutz-Folgenabschätzung unverzüglich notwendig.

2.

Durchführung einer Schwellwertanalyse: 
Sollte die Verarbeitungstätigkeit nicht auf der Muss-Liste stehen, folgt die Schwellwertanalyse. In dieser Analyse werden neun spezifische Fragen beantwortet, die dabei helfen, potentielle Risiken für die Rechte und Freiheiten der betroffenen Personen zu identifizieren. Werden mindestens zwei dieser Fragen mit “Ja” beantwortet, ist eine Datenschutz-Folgenabschätzung unumgänglich.

Gut zu wissen:

Für detailliertes Praxiswissen zur Schwellwertanalyse empfehlen wir unseren Guide. Dieser führt dich Schritt für Schritt durch den Analyseprozess, damit du die Notwendigkeit einer Datenschutz-Folgenabaschätzung richtig einschätzen kannst.

Gründe für die DSFA-Dokumentation in Excel

Die DSGVO schreibt nicht vor, auf welche Weise, d. h. in welchem Format eine DSFA durchgeführt werden muss. Es bietet sich daher zunächst an, auf Anwendungen und Tools zurückzugreifen, die bereits beim Unternehmen im Einsatz sind.

Ein Tabellenkalkulationsprogramm wie Excel bietet eine gute Basis, mit der alle für eine Datenschutz-Folgenabschätzung erforderlichen Schritte sinnvoll aufeinander aufbauend dokumentiert werden. Bei der Nutzung von Tabellen stoßen Datenschutzexpert:innen jedoch schnell an ihre Grenzen – dazu später mehr.

Zunächst möchten wir aufzeigen, welche Informationen zur Datenschutz-Folgenabschätzung in welcher Reihenfolge in Excel dokumentiert werden können.

Eine DSFA in Excel erstellen: Anleitung in 4 Schritten

Schritt 1: Verhältnismäßigkeit überprüfen

Für die Datenschutz-Folgenabschätzung überprüfst du zunächst die Notwendigkeit und Verhältnismäßigkeit deiner Verarbeitungstätigkeiten im Hinblick auf deren Zwecke – so verlangt es Art. 35 Abs. 7 lit. b DSGVO. Dabei ist es nicht nötig, strikt zwischen Notwendigkeit und Verhältnismäßigkeit zu trennen, da die Notwendigkeit oft schon innerhalb der Verhältnismäßigkeitsprüfung mitbedacht wird.

Halte am besten die folgenden Punkte in deiner Exceltabelle in untereinander stehenden Zeilen fest. Nutze jeweils die folgenden Beschriftungen in Spalte 1 und trage die Inhalte in der nebenstehenden Spalte ein:

Legitimer Zweck: dient die Verarbeitungstätigkeit legitimen Zwecken?

Geeignetheit: Überprüfe, ob diese Zwecke durch die Verarbeitung erreicht oder zumindest unterstützt werden

Erforderlichkeit (Notwendigkeit): Gibt es vielleicht mildere, aber ebenso effektive Wege, diese Zwecke zu erreichen?

Angemessenheit: Stelle sicher, dass die Verarbeitungstätigkeit bei einer Interessenabwägung aller Beteiligten – also sowohl der betroffenen Personen als auch der verarbeitenden Stelle – angemessen ist und nicht übermäßig in die Rechte der Betroffenen eingreift

Schritt 2: Risiken erfassen und bewerten

Die DSGVO gibt keinen direkten Hinweis darauf, was genau sie unter „Risiko“ versteht. Es handelt sich hierbei also um einen Begriff, der relativ offen für Interpretationen ist – und bei dem der europarechtliche Rahmen im Auge behalten werden sollte. Gemäß Erwägungsgründe 75 und 94 der DSGVO kann ein Risiko als Möglichkeit gesehen werden, dass etwas passiert, was entweder direkt schädlich ist oder Schaden für eine oder mehrere Personen nach sich ziehen kann.

Mit „Schaden“ sind lt. Erwägungsgrund 75 DSGVO alle Arten von Beeinträchtigungen gemeint: ob physisch (also körperlich), materiell (wirtschaftlich) oder immateriell (sozial, persönlich oder rechtlich).

Die Risiken dokumentierst du in deiner Excel-Tabelle so, dass sie nach den Gewährleistungszielen (siehe auch hierzu unser Blogartikel “Die 7 Gewährleistungsziele des Standard-Datenschutzmodells und ihr effektiver Einsatz im Unternehmen”) gegliedert ist.

Deine Auflistung sollte die folgenden Informationen enthalten:

Beschreibung des Risikos einschließlich des Ereignisses, der Quelle und des möglichen Schadens (ggf. auch als separate Spalten in deiner Tabelle);

Betrachtetes Gewährleistungsziel;

Eintrittswahrscheinlichkeit (Grad und Begründung);

Schadenshöhe (Grad und Begründung);

Risikoklasse (geringes / mittleres / hohes Risiko)

INFOBOX

In der Praxis hat sich bei der Einteilung der Schweregrade in puncto Eintrittswahrscheinlichkeit eine Einteilung von Grad 1 bis 4 etabliert: 

1.

Grad 1 (geringfügig): Kann nach derzeitigem Wissensstand nicht eintreten.

2.

Grad 2 (überschaubar): Kann erfahrungsgemäß eintreten, ist aber unwahrscheinlich.

3.

Grad 3 (substanziell): Möglicher Schaden, Eintritt aber nicht sehr wahrscheinlich.

4.

Grad 4 (hoch): Schaden ist erfahrungsgemäß möglich und tritt sehr wahrscheinlich ein.

Nachdem die Risiken aufgelistet und beschrieben wurden, geht es darum, diese zu bewerten. Dabei analysierst du die Wahrscheinlichkeit, dass etwas passiert, und das mögliche Ausmaß des Schadens aus der Sicht der betroffenen Personen.

Bei der Bewertung der Eintrittswahrscheinlichkeit ziehst du am besten eine:n Expert:in aus der jeweiligen Fachabteilung hinzu.

Fokussiere besonders auf diese Punkte:

Wie viele verschiedene Risikoquellen Schäden verursachen könnten;

Welche Erfahrungen dein Unternehmen diesbezüglich schon gemacht hat;

Wie wahrscheinlich Folgeschäden sind;

Ob Statistiken zur Wahrscheinlichkeit von Schadenseintritten existieren, und

Ob es bekannte Sicherheitslücken in den IT-Systemen gibt.

Nach der Identifizierung potenzieller Risiken für die Rechte und Freiheiten natürlicher Personen ist es entscheidend, wirksame Gegenmaßnahmen zu ergreifen. Gemäß Art. 35 Abs. 7 lit. d DSGVO müssen die Möglichkeiten zur Minderung dieser Risiken sorgfältig geprüft und dokumentiert werden. Der Schlüssel hierzu liegt in der Modellierung gut durchdachter technischer und organisatorischer Maßnahmen (TOM), die speziell darauf ausgerichtet sind, die Eintrittswahrscheinlichkeit und die Schadenshöhe zu reduzieren. Durch diese Risikominimierung soll sichergestellt werden, dass keine hohen Risiken mehr für die betroffenen Personen bestehen bleiben. Infolgedessen wird die Verarbeitungstätigkeit insgesamt sicherer und datenschutzkonformer gestaltet, indem sie auf ein akzeptables Maß an Risiko reduziert wird.

Schritt 3: Maßnahmen zum Schutz der Rechte betroffener Personen beschreiben

Nachdem die Risiken für die Rechte und Freiheiten von Personen identifiziert wurden, wird dokumentiert, wie diese Risiken mitigiert werden können (laut Art. 35 Abs. 7 lit. d DSGVO). Hierbei handelt es sich um technische oder organisatorische Maßnahmen aus dem VVT, die helfen, entweder die Eintrittswahrscheinlichkeit oder das Ausmaß des möglichen Schadens zu verringern.

Bedenke, dass das Einhalten der Informationspflichten lt. Art. 13, 14 DSGVO und die Wahrung der Rechte betroffener Personen (Art. 15 bis 21 DSGVO) innerhalb einer Datenschutz-Folgenabschätzung beeinflussen, wie du die mit einer Verarbeitungstätigkeit assoziierten Risiken bewertest.

Es muss sichergestellt werden, dass alle von der Verarbeitungstätigkeit Betroffenen genau wissen, was mit ihren personenbezogenen Daten passiert. Bei Mitarbeitenden kann das durch Datenschutzhinweise intern erfolgen, bei Kund:innen durch die Datenschutzerklärung, die sie sehen, wenn sie einen Vertrag abschließen. Vergiss ebenfalls nicht, in deiner DSFA auf die genannten Dokumente zu verweisen.

Ob ein bestimmtes Recht der betroffenen Personen bei einer Verarbeitungstätigkeit von Relevanz ist, entscheidet sich durch die Umstände der Datenverarbeitung. Daher muss für jede Datenverarbeitung individuell geklärt werden, welche Rechte der Betroffenen relevant sind und wie ihre Einhaltung gewährleistet werden kann.

Vermerke bei den Betroffenenrechten in deiner Tabelle, welche der folgenden relevant sind:

Informationspflicht gegenüber den betroffenen Personen

Auskunftsrecht

Recht auf Berichtigung

Recht auf Löschung (“Recht auf Vergessenwerden”)

Recht auf Einschränkung der Verarbeitung

Recht auf Datenübertragbarkeit

Widerspruchsrecht

Widerrufsrecht (Einwilligung)

Füge anschließend bei allen als “relevant” markierten Betroffenenrechten in der darauf folgenden Spalte technische und organisatorische Maßnahmen, die die Wahrung der Betroffenenrechte unterstützen.

Schritt 4: Abschluss - die datenschutzrechtliche Bewertung

Zum Schluss erfolgt die datenschutzrechtliche Bewertung der Verarbeitungstätigkeit durch den / die Datenschutzbeauftragte:n. In diesem Schritt wird sichergestellt, dass alle relevanten Datenschutzaspekte innerhalb der DSFA berücksichtigt wurden. Um eine umfassende Einschätzung zu erleichtern, sollen Datenschutzexpert:innen folgende Aspekte zur Orientierung dienen:

Es sollte geprüft werden, ob die Dokumentation der Verarbeitungstätigkeit eine lückenlose Übersicht über die verarbeiteten personenbezogenen Daten, die Verarbeitungszwecke und die betroffenen Personengruppen enthält. Weiterhin muss die Rechtmäßigkeit der Verarbeitung im Hinblick auf die geltenden Datenschutzgesetze und -vorschriften sichergestellt sein.

Die Notwendigkeit und Angemessenheit der Verarbeitung in Bezug auf den Zweck wird bewertet, ebenso wie die Berücksichtigung möglicher Auswirkungen der Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen. Anschließend ist zu klären, ob angemessene Schutzmaßnahmen erforderlich sind und ob diese bereits implementiert wurden.

Es wird festgestellt, ob die Verarbeitung dem neuesten Stand der Technik entspricht, die Sicherheit der Daten gewährleistet und mit eventuellen externen Vorgaben, wie Branchenstandards oder -regulierungen, vereinbar ist.

Durch sorgfältige Berücksichtigung dieser Punkte kann eine fundierte datenschutzrechtliche Bewertung erfolgen, die die Einhaltung der Datenschutzanforderungen bei der betreffenden Verarbeitungstätigkeit sicherstellt.

DSFA in Excel erstellen: Die Vor- und Nachteile im Überblick

Vorteile einer Datenschutz-Folgenabschätzung mit Excel

Eine Datenschutz-Folgenabschätzung mit Excel durchzuführen ist auf jeden Fall machbar, allerdings kann es stellenweise umständlich sein. Dennoch bietet dieser Ansatz drei spezifische Vorteile:

1.

Popularität des Tabellenprogramms: 
Keine Einarbeitungszeit notwendig, da viele bereits Erfahrung mit Excel haben. Es ist möglich, damit sofort zu starten. 

2.

Kosteneffizienz:
Excel ist oft schon auf Büro-PCs vorinstalliert, daher entstehen keine extra Software-Kosten.

3.

Anpassbarkeit: 
Excel erlaubt flexible Anpassungen an Unternehmensbedürfnisse, inklusive Automatisierungen und spezifische Dropdown-Felder.

Nachteile einer Datenschutz-Folgenabschätzung mit Excel

Allerdings sind den drei Vorteilen, die Excel als DSFA-Tool bietet, sechs wesentliche Nachteile gegenüberzustellen:

1.

Keine Verknüpfungsmöglichkeit:
Es gestaltet sich schwierig, Verknüpfungen zwischen verschiedenen Tabellenblättern herzustellen, was doppelte Arbeit verursacht.

2.

Hoher manueller Aufwand und Unordnung:
Dokumentationen in Excel sind fehleranfällig und schwer zu überblicken, besonders bei kleinteiliger Dateneingabe.

3

Fehlende Automatisierungsfunktionen:
Verzicht auf hilfreiche Automatisierungsfunktionen, wie automatische Benachrichtigungen bei vorgenommenen Änderungen.

4.

Schwierige Gesamtauswertung:
Schwierigkeiten bei der Zusammenführung und Auswertung mehrerer DSFA, umfassende Überblicke sind mühsam zu erstellen.

5.

Mangelnde Qualitätsüberwachung und Versionskontrolle:
Keine integrierte Qualitätssicherung oder einfach handzuhabende Nachverfolgung von Änderungen.

6.

Datenschutzmanagement als Inselfunktion:
Erhöhte Komplexität erschwert die Einbindung anderer Abteilungen zur Zuarbeit an einer DSFA.

Die Alternative zur DSFA mit Excel: Eine zuverlässige All-in-One Datenschutzlösung

Das Erstellen einer Datenschutz-Folgenabschätzung in Excel ist eine zuverlässige Methode, die jedoch mit einem recht hohen manuellen Aufwand verbunden ist. Es gibt hier eine bessere Alternative, die die oben beschriebenen Prozess-Schritte durch smarte Algorithmen und sinnvolle Verknüpfungen weitaus einfacher gestaltet.

Eine All-in-One Datenschutzmanagement-Lösung hilft durch automatisierte Schwellwertanalysen festzustellen, ob für eine Verarbeitungstätigkeit überhaupt eine DSFA notwendig ist.

Softwaregestützt ist es auch einfacher, Dokumentationspflichten rechtskonform durchzuführen. Die Datenschutzsoftware ist stets mit dem Verzeichnis für Verarbeitungstätigkeiten (VVT) verknüpft und idealerweise in der Lage, eine DSFA basierend auf dem Ergebnis der Schwellwertanalyse anzustoßen. Dies erspart Datenschutz-Expert:innen Redundanzen in der Dokumentation.

Auch wenn es möglich ist, eine Datenschutz-Folgenabschätzung über viele Jahre mit Excel zu pflegen, entscheiden sich immer mehr Datenschutzexpert:innen dafür, eine moderne Datenschutzmanagement-Lösung zu nutzen. Im Gegensatz zu einem Tabellenkalkulationsprogramm ist eine professionelle Datenschutz-Software speziell auf die Bedürfnisse von Datenschutzexpert:innen und die neuesten datenschutzrechtlichen Anforderungen zugeschnitten.

Datenschützer:innen der neuen Generation profitieren von benutzerfreundlichen Workflows, Automatisierungsfunktionen und sinnvollen Features für die Zusammenarbeit.

Probiere die Datenschutzmanagement-Software von caralegal kostenlos aus. Die caralegal Datenschutz-Profis führen dich in einem persönlichen Termin gerne durch alle Funktionen und gehen auf deine Herausforderungen und Fragen ein.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Verarbeitungstätigkeiten: Mit dieser umfangreichen Liste wird Datenschutzdokumentation kinderleicht

Verarbeitungstätigkeiten: 100+ Beispiele und praktische Liste

Mehr erfahren
Auflistung der Top 5 Trends im Datenschutz 2024

Datenschutz 2024: Die Top 5 Entwicklungen

Mehr erfahren