Rahul: Ganz genau, Neha. Eine DSFA ist kein Selbstzweck, sondern ein proaktives Werkzeug. Laut Artikel 35 der DSGVO ist es verpflichtend, wenn eine Verarbeitung, besonders mit neuen Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Die Aufsichtsbehörden haben dazu sogar Positivlisten, etwa für die umfangreiche Nutzung von Gesundheitsdaten oder großräumige öffentliche Überwachung.

Neha: Verstehe. Also erst die Notwendigkeit prüfen. Und wenn sie notwendig ist, wie gehst du dann vor? Ich nehme an, es geht weit über eine einfache Checkliste hinaus.

Rahul: Absolut. Es ist ein systematischer Prozess. Zuerst beschreibe ich die Verarbeitungsvorgänge im Detail: Welche Daten, warum, wer hat Zugriff? Dann werden interne Stakeholder konsultiert – der Datenschutzbeauftragte, IT-Security, die Fachabteilung. Ein kritischer Schritt ist die Bewertung von Notwendigkeit und Verhältnismäßigkeit; sammeln wir vielleicht schon zu viele Daten ein? Der Kern ist dann die eigentliche Risikobewertung: Was könnte schiefgehen? Unbefugter Zugriff, Datenleck, Diskriminierung durch einen Algorithmus?

Neha: Also identifiziert man die Risiken und plant dann entsprechende Gegenmaßnahmen.

Rahul: Genau. Für jedes Risiko plane ich Maßnahmen, etwa Verschlüsselung als technische Maßnahme oder Mitarbeiterschulungen als organisatorische Maßnahme. Alles wird dokumentiert, und die DSFA ist ein lebendes Dokument. Sind die verbleibenden Risiken immer noch hoch, muss sogar die Aufsichtsbehörde vor Projektstart konsultiert werden.

Neha: Sehr spannend. Diese risikobasierte Herangehensweise ist ja auch zentral, wenn man mit externen Dienstleistern arbeitet. Deine zweite Kernfähigkeit ist die Verhandlung und Gestaltung von IT-Verträgen, speziell für SaaS/Cloud und Auftragsverarbeitungsverträge, oder?

Rahul: Richtig. Outsourcing der Verarbeitung bedeutet nicht Outsourcing der Verantwortung. Artikel 28 DSGVO schreibt hier einen vertraglichen Rahmen zwingend vor. Ohne einen ordnungsgemäßen AVV – auf Englisch DPA – ist die Datenweitergabe sogar illegal.

Neha: Was sind denn die absoluten Mindestanforderungen, die so ein AVV enthalten muss? Worauf achtest du besonders?

Rahul: Das Herzstück sind die Pflichten des Auftragsverarbeiters. Er muss nach dokumentierten Weisungen handeln, Vertraulichkeit sicherstellen, alle technischen Maßnahmen nach Artikel 32 umsetzen – also Verschlüsselung usw – und für den Einsatz von Unterauftrag Verarbeiten die ausdrückliche Zustimmung einholen. Ganz wichtig sind auch Klauseln zur Löschung nach Vertragsende und das Recht des Kunden auf Audits oder zumindest Prüfberichte, wie ISO-27001-Zertifikate.

Neha: Das klingt, als wäre die Due Diligence vor Vertragsunterzeichnung extrem wichtig, um überhaupt einschätzen zu können, was man vertraglich fordern kann und was nicht.

Rahul: Exakt. Das führt uns direkt zur dritten Kompetenz - der Lieferanten Risikobewertung. Begeht ein Dienstleister einen Verstoß, haftet auch der Verantwortliche. Daher muss man Partner sorgfältig auswählen und überwachen. Die Bewertung beginnt mit dem Scoping: Verarbeitet der Lieferant besonders schützenswerte Daten? Dann folgt ein detaillierter Due-Diligence-Fragebogen zu Themen wie organisatorischer, technischer und physischer Sicherheit.

Neha: Und auf Basis der Antworten wird dann eine risikobasierte Entscheidung getroffen.

Rahul: Ja. Jede Lücke ist ein potenzielles Risiko. Die Entscheidung kann dann sein: Genehmigung, Ablehnung bei zu hohem Risiko oder Genehmigung mit Auflagen, die wiederum vertraglich im AVV fixiert werden. Und das ist kein One-Time-Task; die Überwachung ist kontinuierlich, mit jährlichen Re-Audits.

Neha: Sehr wichtig. Nun, die besten Verträge und Prozesse nützen wenig, wenn das eigene Team nicht mitzieht. Deine sechste Fähigkeit ist daher Schulung und Sensibili...

***

Read the German and English text here:

https://docs.google.com/document/d/1oEspwKpwMcjlN5BkId5-KTNIs7pywqDbp8g1lYnU2fg/edit?usp=sharing

***