Datenschutz-Folgenabschätzung

 

 

Leistungen

 

Risikoorientierter Datenschutz: Die Bedeutung der DSFA


Die Datenschutz-Folgenabschätzung (DSFA) ist wichtiger Bestandteil des risikoorientierten Ansatzes im Datenschutz und gem. Art. 35 DS-GVO erforderlich, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Ziele einer DSFA sind die Identifikation und Bewertung von Risiken für betroffene Personen und die Ableitung zusätzlicher technischer und organisatorischer Maßnahmen zur Risikoreduktion. Sollte nach Abschluss der DSFA immer noch ein hohes Risiko für die Betroffenen bestehen, muss die Aufsichtsbehörde konsultiert werden.

Für viele Unternehmen ist es schwer einzuschätzen, wann eine DSFA erforderlich ist und wie diese ressourcenschonend umgesetzt werden kann.

Folgende Aspekte weisen auf die Notwendigkeit einer DSFA hin:

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, z. B. Auswertung von GPS-Ortungsdaten der Beschäftigten in Fahrzeugen
  • Sensible Daten werden umfangreich verarbeitet, z. B. Betrieb eines Patienteninformationssystems
  • Öffentlich zugängliche Bereiche werden systematisch und umfangreich überwacht, z. B. Videoüberwachung mit Bewegungstracking im Einzelhandel

Darüber hinaus benennen sogenannte “Black- und Whitelists” der zuständigen Aufsichtsbehörden weitere Verarbeitungssituationen, in denen eine DSFA durchgeführt werden muss oder entfallen kann.

Die Herausforderung strukturiert angehen

Grundsätzlich ist die DSFA vor der Aufnahme der Verarbeitung durchzuführen und zu dokumentieren. Zwar bestehen keine rechtlichen Vorgaben an Form und Struktur der DSFA, allerdings sind die in Art. 35 DS-GVO geforderten Aspekte mindestens abzubilden. Es gibt verschiedene Vorgehensmodelle zur Durchführung einer DSFA, z.B. das Privacy Impact Assessment (PIA) gem. ISO 29134 oder das Standard-Datenschutzmodell (SDM), die zur Orientierung dienen.

In der Praxis hat sich folgendes Vorgehen zur Durchführung einer DSFA etabliert:

  • Festlegung des DSFA-Teams, z. B. aus Fachabteilung, IT und Datenschutzbeauftragten
  • Beschreibung des Kontexts der Verarbeitungstätigkeit, z. B. eingesetzte Auftragsverarbeiter, notwendige Betriebsmittel, berechtigte Interessen und einflussnehmende Gesetze, Normen und Standards
  • Einbeziehung betroffener Personen, z. B. durch Stellungnahmen des Betriebsrates
  • Prüfung der Einhaltung von Datenschutzgrundsätzen und Betroffenenrechten
  • Risikobewertung aus Sicht der Betroffenen, z. B. unberechtigter Zugriff auf personenbezogene Daten und die bereits umgesetzten Gegenmaßnahmen
  • Risikobehandlung und erneute Risikobewertung nach Umsetzung zusätzlicher Maßnahmen
  • Rat des Datenschutzbeauftragten, ob dieser aus seiner Sicht das Risiko für vertretbar hält oder weitere Maßnahmen als erforderlich betrachtet
  • Freigabe durch den Verantwortlichen, z. B. durch eine Stellungnahme der Geschäftsführung

Idealerweise wird die DSFA so lange im Unternehmen durchgeführt, bis alle beteiligten Gruppen von einem vertretbaren Restrisiko ausgehen können und somit eine Konsultation der Aufsichtsbehörde vermieden werden kann.

Leistungen

Unser Angebot zur Datenschutz-Folgenabschätzung

Leistungen

Ihre Zusammenarbeit mit audatis

 

  • 01

    Erstgespräch

  • 02

    Angebot

  • 03

    Information

  • 04

    Durchführung

  • 05

    Präsentation

Leistungen

Ihre Vorteile mit audatis

Branchenerfahrung

bei der Durchführung von Datenschutz-Folgenabschätzungen in verschiedenen Bereichen

Risikobetrachtung

aus dem Blickwinkel der Betroffenen und Unternehmen zur Vermeidung unnötiger Dokumentation

Softwareunterstützung

bei Durchführung einer vollständigen DSFA nach ISO 29134 Vorgehensweise im audatis MANAGER

Zeitersparnis

durch Muster-DSFA für Verarbeitungstätigkeiten wie Microsoft 365 oder Videoüberwachung

Team

Unsere Experten unterstützen Sie gerne

Alexandra Küger
Legal Counsel Data Privacy & Compliance

Matthias Schütz
Consultant Datenschutz

Jannik Wallbaum
Senior Legal Consultant Datenschutz

Lara Feist
Teamassistentin

Jetzt kostenloses Erstgespräch vereinbaren

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.

Tel: 05221 87292-20

E-Mail: l.feist@audatis.de

 

Termin vereinbaren