datenschutz-folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist aktuell in aller Munde, denn ein solcher Bericht wird für die Corona Warn-App erwartet. Die DSFA ist kein optionales Plus zur Datenschutzstrategie, sondern in vielen Unternehmen ein absolutes Muss. Wann eine Datenschutz-Folgenabschätzung erforderlich ist, was sie beinhaltet und wie wir Sie unterstützen, erfahren Sie hier.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung ist eine Art Risikoanalyse: Sie hilft Unternehmen und andere Betroffene dabei, die Risiken in der Datenerhebung, Datenverarbeitung und der Speicherung von Daten zu erkennen und entsprechende Maßnahmen zu planen, bevor der Risikofall eintritt. Schließlich ist es so: Datenpannen und Hacks kündigen sich nicht an, sie treten plötzlich auf, so dass Unternehmen im Fall eines Eintretens bereits wissen sollten, wie sie zu handeln haben.

Bei der Erstellung und der Überprüfung stehen die betroffenen Organisationen oftmals in Kontakt mit den zuständigen Datenschutzbehörden, um durch die Zusammenarbeit und Beratung die höchstmögliche Sicherheit zu schaffen. Oftmals geben Unternehmen die ständige Arbeit an solchen Risikoanalysen jedoch an externe Datenschutzberatungen wie Wiemer & Arndt ab – das erspart Zeit, die im Unternehmen effektiver genutzt werden kann.

 

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Der Art. 35 DSGVO definiert grob, in welchen Fällen eine Datenschutz-Folgenabschätzung erforderlich ist:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“

 

In Absatz 3 werden drei Regelbeispiele vorgestellt. Unternehmen, die sich in diesen Beispielen wiederfinden, müssen in der Regel immer eine Datenschutz-Folgenabschätzung erstellen:

  1. Unternehmen und Organisationen, die eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vornehmen, die sich dabei auf der automatisierten Verarbeitung, einschließlich Profiling, gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
  2. Es findet eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Datengemäß 9 Absatz 1 DSGVO statt oder es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 verarbeitet.
  3. Es findet eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Verarbeitung von sensiblen Daten

In Art. 9 Absatz 1 DSGVO werden die Datentypen genannt, die eine Datenschutz-Folgenabschätzung erforderlich machen:

  • Gesundheitsdaten
  • Daten über sexuelle Orientierung
  • Daten, die zur Identifizierung von Personen dienen
  • Angaben über die Gewerkschaftszugehörigkeit
  • politische Einstellung
  • ethnische Herkunft
  • Daten schutzbedürftiger Personen wie z. B. Kinder oder in Behandlung befindliche Patientinnen und Patienten

 

Weitere Hinweise, ob eine Datenschutz-Folgenabschätzung erforderlich ist, geben die Blacklists der jeweiligen Datenschutzaufsichtsbehörden sowie die Blacklist der Datenschutz-Konferenz (DSK).

Finden Unternehmen in den Blacklists keinen Hinweis darauf, dass eine Datenschutz-Folgenabschätzung für die eigene Organisation notwendig ist, folgt daraus nicht, dass sie tatsächlich nicht erforderlich ist. Es kann hilfreich sein, einen externen Datenschutzexperten hinzuzuziehen. Dieser kann die Datenverarbeitungsprozesse analysieren und darüber urteilen, ob eine Datenschutz-Folgenabschätzung notwendig ist.

 

Datenpanne | Datenschutzzeichen für Mitarbeiterinformation zur Meldung von Datenpannen
Datenpanne | Datenschutzzeichen für Mitarbeiterinformation zur Meldung von Datenpannen

Unterstützen Sie Ihre Mitarbeiter bei der Einhaltung der Datenschutzgrundverordnung (DSGVO) durch die Mitarbeitersensibilisierung zur Meldung von Datenpanne nach der Verletzung der Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten im Unternehmen.
ShapeMinds ShapeMinds

Kontinuierliche Zusammenarbeit mit Datenschutzbehörde

Besteht ein hohes datenschutzrechtliches Risiko, muss das jeweilige Unternehmen dieses bei der zuständigen Datenschutzbehörde melden. Zudem müssen alle angedachten Datenverarbeitungsprozesse an den Landesdatenschutzbeauftragten gemeldet werden, bevor eine Datenverarbeitung stattfindet.

 

Inhalte einer Datenschutz-Folgeabschätzung

Es gibt keine festgeschriebenen Regularien zur Erstellung einer Datenschutz-Folgenabschätzung. Jedoch enthält sie zumeist die folgenden Abschnitte, die aufeinander aufbauen.

 

Datenbasis – Schritt 1

Es wird dargelegt, wann und zu welchem Zweck Daten verarbeitet werden. Außerdem muss erklärt werden, wie die Datenverarbeitungsabläufe und -prozesse

funktionieren. In diesem Abschnitt muss auch deutlich werden, dass die jeweilige Art der Datenverarbeitung notwendig ist, um die Unternehmensprozesse optimal zu gestalten. Hintergrund hierbei ist u. a. das Gebot der Datenminimierung.

 

Risiken – Schritt 2

In einem zweiten Abschnitt der Datenschutz-Folgenabschätzung werden die möglichen datenschutzrechtlichen Risiken in den vorab beschriebenen Verarbeitungsprozessen bewertet. Hierbei stehen die Risiken und die rechtlichen Folgen für die betroffenen Personen, deren Daten verarbeitet werden, im Fokus.

 

Bewertung und Maßnahmenkatalog – Schritt 3

Nach der Bewertung der Risiken wird erläutert, welche Vorkehrungen getroffen werden, um das datenschutzrechtliche Risiko zu minimieren und welche Maßnahmen im Falle des Eintretens einer Datenschutzverletzung ergriffen werden. Abschließend werden die Restrisiken benannt.

 

Datenschutz-Folgenabschätzung als kontinuierlicher Prozess

Eine Datenschutz-Folgenabschätzung wird nicht einmalig erstellt. Vielmehr handelt es sich um einen kontinuierlichen Prozess: Die verantwortliche Person muss regelmäßig kontrollieren, ob es Veränderungen in der Datenverarbeitung gibt, um ggf. die Risiken neu abzuschätzen.

Wurde eine Datenschutzbeauftragte bzw. ein Datenschutzbeauftragter ernannt, muss dieser laut Art. 35 Abs. 2 DSGVO sowohl in der Bewertung der datenschutzrechtlichen Risiken wie auch bei der Erstellung eines Maßnahmenkatalogs miteinbezogen werden.

Je nach Branche und Unternehmensgröße kann das Anfertigen einer Datenschutz-Folgenabschätzung komplex sein.

Datenschutzexperten wie Wiemer & Arndt haben das notwendige Know-How und die nötige Erfahrung im Umgang mit Datenschutzbehörden, um alle notwendigen Dokumente zusammenzustellen. Kontaktieren Sie uns!
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!

Tags: