Leistungen
Risikoorientierter Datenschutz: Die Bedeutung der DSFA
Die Datenschutz-Folgenabschätzung (DSFA) ist wichtiger Bestandteil des risikoorientierten Ansatzes im Datenschutz und gem. Art. 35 DS-GVO erforderlich, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Die Ziele einer DSFA sind die Identifikation und Bewertung von Risiken für betroffene Personen und die Ableitung zusätzlicher technischer und organisatorischer Maßnahmen zur Risikoreduktion. Sollte nach Abschluss der DSFA immer noch ein hohes Risiko für die Betroffenen bestehen, muss die Aufsichtsbehörde konsultiert werden.
Für viele Unternehmen ist es schwer einzuschätzen, wann eine DSFA erforderlich ist und wie diese ressourcenschonend umgesetzt werden kann.
Folgende Aspekte weisen auf die Notwendigkeit einer DSFA hin:
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, z. B. Auswertung von GPS-Ortungsdaten der Beschäftigten in Fahrzeugen
- Sensible Daten werden umfangreich verarbeitet, z. B. Betrieb eines Patienteninformationssystems
- Öffentlich zugängliche Bereiche werden systematisch und umfangreich überwacht, z. B. Videoüberwachung mit Bewegungstracking im Einzelhandel
Darüber hinaus benennen sogenannte “Black- und Whitelists” der zuständigen Aufsichtsbehörden weitere Verarbeitungssituationen, in denen eine DSFA durchgeführt werden muss oder entfallen kann.
Die Herausforderung strukturiert angehen
Grundsätzlich ist die DSFA vor der Aufnahme der Verarbeitung durchzuführen und zu dokumentieren. Zwar bestehen keine rechtlichen Vorgaben an Form und Struktur der DSFA, allerdings sind die in Art. 35 DS-GVO geforderten Aspekte mindestens abzubilden. Es gibt verschiedene Vorgehensmodelle zur Durchführung einer DSFA, z.B. das Privacy Impact Assessment (PIA) gem. ISO 29134 oder das Standard-Datenschutzmodell (SDM), die zur Orientierung dienen.
In der Praxis hat sich folgendes Vorgehen zur Durchführung einer DSFA etabliert:
- Festlegung des DSFA-Teams, z. B. aus Fachabteilung, IT und Datenschutzbeauftragten
- Beschreibung des Kontexts der Verarbeitungstätigkeit, z. B. eingesetzte Auftragsverarbeiter, notwendige Betriebsmittel, berechtigte Interessen und einflussnehmende Gesetze, Normen und Standards
- Einbeziehung betroffener Personen, z. B. durch Stellungnahmen des Betriebsrates
- Prüfung der Einhaltung von Datenschutzgrundsätzen und Betroffenenrechten
- Risikobewertung aus Sicht der Betroffenen, z. B. unberechtigter Zugriff auf personenbezogene Daten und die bereits umgesetzten Gegenmaßnahmen
- Risikobehandlung und erneute Risikobewertung nach Umsetzung zusätzlicher Maßnahmen
- Rat des Datenschutzbeauftragten, ob dieser aus seiner Sicht das Risiko für vertretbar hält oder weitere Maßnahmen als erforderlich betrachtet
- Freigabe durch den Verantwortlichen, z. B. durch eine Stellungnahme der Geschäftsführung
Idealerweise wird die DSFA so lange im Unternehmen durchgeführt, bis alle beteiligten Gruppen von einem vertretbaren Restrisiko ausgehen können und somit eine Konsultation der Aufsichtsbehörde vermieden werden kann.
Leistungen
Unser Angebot zur Datenschutz-Folgenabschätzung
Beratung
Prüfung
Schulung
Vorlagen
Leistungen
Ihre Zusammenarbeit mit audatis
-
01
Erstgespräch
-
02
Angebot
-
03
Information
-
04
Durchführung
-
05
Präsentation
Leistungen
Ihre Vorteile mit audatis
Branchenerfahrung
bei der Durchführung von Datenschutz-Folgenabschätzungen in verschiedenen Bereichen
Risikobetrachtung
aus dem Blickwinkel der Betroffenen und Unternehmen zur Vermeidung unnötiger Dokumentation
Softwareunterstützung
bei Durchführung einer vollständigen DSFA nach ISO 29134 Vorgehensweise im audatis MANAGER
Zeitersparnis
durch Muster-DSFA für Verarbeitungstätigkeiten wie Microsoft 365 oder Videoüberwachung
Team
Unsere Experten unterstützen Sie gerne
Alexandra Küger
Legal Counsel Data Privacy & Compliance
Matthias Schütz
Consultant Datenschutz
Jannik Wallbaum
Senior Legal Consultant Datenschutz
Lara Feist
Teamassistentin
Jetzt kostenloses Erstgespräch vereinbaren
Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.
Tel: 05221 87292-20
E-Mail: l.feist@audatis.de