Mit der EU-DSGVO wurde 2018 das Instrument der DSFA eingeführt (Art. 35 EU-DSGVO). Die Verantwortliche Stelle ist demnach verpflichtet, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen vorzunehmen und zu dokumentieren.
Eine (gefürchtete) Neuerung in der DSGVO ist die Datenschutz-Folgenabschätzung (DSFA; Art. 35). Eine DSFA ist ein Instrument, mit dem die Datenschutzrisiken von Systemen und Verarbeitungen erfasst und die Maßnahmen zur Risikominderung dokumentiert werden können. Die Verantwortliche Stelle muss die Auswirkungen einer geplanten Verarbeitungstätigkeit evaluieren, wenn sie ein erhöhtes Risiko für die betroffene Person darstellt.
Im Falle einer Datenschutz-Folgenabschätzung oder auch Data Protection Impact Assessment (DPIA) erfolgt eine Risikoanalyse durch den Datenschutzbeauftragten bezüglich der Rechte und Freiheiten von Betroffenen. Geprüft werden Datenverarbeitungsvorgänge, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen.
Im Anschluss der Prüfung nimmt der Datenschutzbeauftragte Stellung zur Rechtmäßigkeit der Datenverarbeitung. So können mögliche Risiken und Folgen für die Rechten und Freiheiten Betroffener bewertet werden. Welche Unternehmen eine Datenschutz-Folgenabschätzung machen müssen und wie man dabei vorgeht, ist im Folgenden erklärt.
Wir benutzen YouTube als Drittanbietersoftware, um Ihnen an dieser Stelle Videos präsentieren zu können. Mit Klick auf "Akzeptieren" stimmen Sie der Datenverarbeitung durch YouTube zu.
Die Datenschutz-Folgenabschätzung sollte umfassend, systematisch und belastbar dokumentiert werden.
Nicht jedes Unternehmen muss eine Datenschutz-Folgenabschätzung durchführen. Nach Art 35 Abs. 1 der DSGVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn
(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat].
Zudem nennt die DSGVO einige Fallbeispiele in denen die Vorabkontrolle erfolgen muss:
Zur Durchführung einer Datenschutz-Folgenabschätzung bietet Datenschutzmanagement Software keine belastbare Lösung. Wir empfehlen, einen Datenschutzbeauftragten zur Beratung hinzuzuziehen.
Eine umfassende Beratung zu allen Themen rund um die DSGVO aus einer Hand, damit Sie gesetzliche Anforderungen effizient umsetzen und Ihre Daten sicher verwalten können.
Zur Unterstützung der DSFA veröffentlichen die Datenschutzaufsichtsbehörden Positiv- und Negativlisten, in denen aufgelistet ist, für welche Fälle eine DSFA zwingend erforderlich bzw. entbehrlich ist.
Von den Aufsichtsbehörden gibt es ein Konzept zur Umsetzung der DSFA. Dies beinhaltet eine Liste mit Verarbeitungstätigkeiten, bei denen eine DSFA verpflichtend durchzuführen ist.
Die Whitelist beschreibt ein Vorgehen anhand der Gewährleistungsziele für den Datenschutz, die auch den Prüfungen gemäß Standard-Datenschutzmodell zugrunde liegen.
Die Liste können Sie hier herunterlanden.
Zu beachten ist: Ist eine Verarbeitungstätigkeit nicht auf dieser Liste enthalten, ergibt sich nicht zwingend eine Nicht-Ausführung einer DSFA. Insbesondere bei dem Einsatz von innovativen Technologien ist eine individuelle Risikobeurteilung durchzuführen.
Es können von den Aufsichtsbehörden auch Listen veröffentlicht werden, die Verarbeitungsvorgänge ohne Verpflichtung einer DSFA enthalten. Die Aufsichtsbehörde übermittelt diese Liste dem Ausschuss.
Einhaltung und Kontrolle des Datenschutzes im Unternehmen durch Cortina Consult.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
