Datenschutz-Folgenabschätzung

Art. 35 DSGVO. Wann (und wozu) ist eine DSFA erforderlich?

datenschutzberatung2
Inhalt der Seite

    DSFA

    Was ist eine Datenschutz-Folgenabschätzung?

    Eine (gefürchtete) Neuerung in der DSGVO ist die Datenschutz-Folgenabschätzung (DSFA; Art. 35). Eine DSFA ist ein Instrument, mit dem die Datenschutzrisiken von Systemen und Verarbeitungen erfasst und die Maßnahmen zur Risikominderung dokumentiert werden können. Die Verantwortliche Stelle muss die Auswirkungen einer geplanten Verarbeitungstätigkeit evaluieren, wenn sie ein erhöhtes Risiko für die betroffene Person darstellt.

    Im Falle einer Datenschutz-Folgenabschätzung oder auch Data Protection Impact Assessment (DPIA) erfolgt eine Risikoanalyse durch den Datenschutzbeauftragten bezüglich der Rechte und Freiheiten von Betroffenen. Geprüft werden Datenverarbeitungsvorgänge, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen.

    Im Anschluss der Prüfung nimmt der Datenschutzbeauftragte Stellung zur Rechtmäßigkeit der Datenverarbeitung. So können mögliche Risiken und Folgen für die Rechten und Freiheiten Betroffener bewertet werden. Welche Unternehmen eine Datenschutz-Folgenabschätzung machen müssen und wie man dabei vorgeht, ist im Folgenden erklärt.

    Vorteile von Datenschutz-Folgenabschätzungen

    • Risiken minimieren
    • Verbesserung von Datenschutzmaßnahmen
    • Korrekter Umgang mit personenbezogenen Daten
    • Schutz vor hohen Bußgeldern

    Unsere Datenschutzschulung haben wir online in Form eines Webinars mit Cortina Consult durchgeführt. Wir waren positiv überrascht, wie interessant Datenschutz sein kann, wenn das Thema anschaulich vermittelt wird.

    Julian Hilger, Hilltop Consulting GmbH

    Mit Einführung der Datenschutzgrundverordnung (DSGVO) wurden wir als Unternehmen vor große Herausforderungen gestellt. Mit Cortina Consult haben wir eine willkommene und professionelle Unterstützung bekommen und aus dem komplexen Datenschutzrecht wurde ein Kinderspiel.

    Marcel Baldsiefen, Holz Richter GmbH

    Meine Erfahrungen mit Cortina Consult sind sehr positiv. Die Anforderungen der DSGVO wurden praxistauglich – und mit angemessenem Budget – für unser Unternehmen umgesetzt. Kurz: Ich fühle ich mich ehrlich und kompetent beraten.

    Julian Hilger, Hilltop Consulting GmbH

    Die "Usercentrics' Consent Management Platform" hilft uns, DSGVO-konform zu sein, und ermöglicht gleichzeitig hohe Opt-in-Raten. Auf diese Weise können wir sorgfältig mit sensiblen Daten umgehen und trotzdem gezieltes Marketing betreiben.

    Johanne Schwensen, It´s Complicated

    arrow-right

    Sie möchten nicht nur eine Risikoanalyse sondern auch Lösungen?

    Wir führen professionelle DSFA inkl. Abhilfemaßnahmen durch.

    FAQ

    Was ist bei einer Datenschutz-Folgenabschätzung zu beachten?

    Die Datenschutz-Folgenabschätzung sollte umfassend, systematisch und belastbar dokumentiert werden.

    • Beschreibung der geplanten Verarbeitungsvorgänge
    • Beschreibung der Zwecke der Verarbeitung
    • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung
    • Risikobewertung der Rechte und Freiheiten der betroffenen Personen
    • Geplante Abhilfemaßnahmen zur Bewältigung der Risiken (einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren)

    Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

    Nicht jedes Unternehmen muss eine Datenschutz-Folgenabschätzung durchführen. Nach Art 35 Abs. 1 der DSGVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn

    (…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat].

    Zudem nennt die DSGVO einige Fallbeispiele in denen die Vorabkontrolle erfolgen muss:

    • Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
    • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten
    • Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten
    • Besondere Arten personenbezogener Daten die in erheblichem Umfang gespeichert, verarbeitet und genutzt werden Daten, die zum Zwecke des Profilings oder in Scoringverfahren verarbeitet werden

    Zur Durchführung einer Datenschutz-Folgenabschätzung bietet Datenschutzmanagement Software keine belastbare Lösung. Wir empfehlen, einen Datenschutzbeauftragten zur Beratung hinzuzuziehen.

    • 1 Identifizieren: Prüfen der Korrekturmaßnahmen und ableiten neuer Zielsetzungen
    • 2 Klassifizieren: Bewerten und Beschreiben des Verarbeitungsvorganges
    • 3 Umsetzen: Identifizieren der Risiken Bereitstellen von Informationen
    • 4 Weiterentwickeln: Einleiten der Korrekturmaßnahmen zur Bewältigung der Risiken
    • hilfe

      Wie können wir Ihnen helfen?

    Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:

    Sprechen Sie uns an.

    Wir beraten Sie gerne

    +49 251 297 947 40

    Jörg ter Beek

    Ihr Ansprechpartner

    Jörg ter Beek
    +49 251 297 947 40
    [email protected]

    Jörg ter Beek

    Muss-Listen DSFA

    Positiv- und Negativlisten der Aufsichtsbehörden

    Zur Unterstützung der DSFA veröffentlichen die Datenschutzaufsichtsbehörden Positiv- und Negativlisten, in denen aufgelistet ist, für welche Fälle eine DSFA zwingend erforderlich bzw. entbehrlich ist.

    Whitelist

    Von den Aufsichtsbehörden gibt es ein Konzept zur Umsetzung der DSFA. Dies beinhaltet eine Liste mit Verarbeitungstätigkeiten, bei denen eine DSFA verpflichtend durchzuführen ist.

    Die Whitelist beschreibt ein Vorgehen anhand der Gewährleistungsziele für den Datenschutz, die auch den Prüfungen gemäß Standard-Datenschutzmodell zugrunde liegen.

    Die Liste können Sie hier herunterlanden.

    Zu beachten ist: Ist eine Verarbeitungstätigkeit nicht auf dieser Liste enthalten, ergibt sich nicht zwingend eine Nicht-Ausführung einer DSFA. Insbesondere bei dem Einsatz von innovativen Technologien ist eine individuelle Risikobeurteilung durchzuführen.

    Blacklist

    Es können von den Aufsichtsbehörden auch Listen veröffentlicht werden, die Verarbeitungsvorgänge ohne Verpflichtung einer DSFA enthalten. Die Aufsichtsbehörde übermittelt diese Liste dem Ausschuss.

    Kontakt

    Sie haben noch Fragen zum Thema oder zum Datenschutz im Allgemeinen?

    Wir helfen Ihnen gerne:

    Jörg ter Beek

    Ihr Ansprechpartner

    Jörg ter Beek
    Datenschutzexperte
    [email protected]
    +49 251 29794740