Datenschutz-Folgenabschätzung
10. Dezember 2021

Die Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung leicht erklärt

Die Datenschutz-Folgenabschätzung (DSFA) entspricht einer Risikobewertung der sicheren Verarbeitung von personenbezogenen Daten in einem Unternehmen.

Datenschutz Folgenabschätzung –  was ist das?

Die DSFA ist eine Form der Vorabbewertung bestimmter Verarbeitungsvorgänge.

Dabei gilt es sich nicht nur an die Vorgaben der DSGVO zu halten, sondern auch für das eigene und mögliche Partnerunternehmen die Sicherheit im Datenschutz zu erhöhen.

 

Datenschutzfolgeabschätzung -  was ist das?

DSGVO Datenschutz-Folgenabschätzung

Die DSFA stellt eines der wichtigsten Instrumente der Datenschutz-Grundverordnung (DSGVO) dar. Die Anforderungen der DSFA werden in Art. 35 der DSGVO und den Erwägungsgründen 84, 90, 91, 92 und 93 angegeben.

Warum gibt es die Datenschutz-Folgenabschätzung?

Die DSFA ist ein Instrument, um das Risiko möglicher Datenschutzverstöße zu verringern. Dabei sollen primär die Rechte und Freiheiten von natürlichen Personen geschützt werden. Die Folgenabschätzung ist deshalb seit Erlass der DSGVO immer dann erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen beinhaltet.

 

Datenschutz-Folgenabschätzung – wann notwendig?

Die DSFA ist notwendig, sobald eine Organisation neue Verfahren zur Verarbeitung von Daten einsetzen möchte, die „(…) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (…)“ (Art. 35 DSGVO) haben.

Die Aufsichtsbehörde hat für öffentliche und nicht öffentliche Stellen des Bundes Listen erstellt, in denen alle Formen der Verarbeitung aufgeführt sind, für die eine Datenschutzfolgeabschätzung notwendig ist:

In jedem Fall profitieren Organisationen durch die Durchführung der DSFA von Beginn an von der Identifizierung möglicher Risiken. Auf diese Weise können sie ihre Geschäftsprozesse sowie ihr Datenschutz- und Compliance-Management optimieren.

Wer macht die Datenschutz-Folgenabschätzung?

Sofern das Unternehmen über eine:n Datenschutzbeauftragte:n verfügt, sollte diese:r zurate gezogen werden. Als weisungsunabhängige Person sollte diese zur Vermeidung von möglichen Interessenkonflikten jedoch nicht selbst die DSFA durchführen. Hierfür bietet es sich vielmehr an ein Team aufzustellen.


Die verantwortlichen Personen sollten dabei über Kompetenzen im Datenschutz, der Bewertung von Risiken und in den konkreten Fachbereichen verfügen. Auch die IT-Verantwortlichen und Auftragsverarbeiter:innen müssen in den Erstellungsprozess der DSFA mit einbezogen werden. Es sollte ein interdisziplinäres Team zusammengestellt werden, das inhaltlich und fachlich die Erstellung und Bewertung der Risikoanalyse vornehmen kann.

Datenschutzfolgeabschätzung Beispiel

Datenschutz-Folgenabschätzung Beispiel

Wenn ein Unternehmen personenbezogene Daten von Kund:innen an Dritte weiterleiten möchte, muss dies in jedem Fall geprüft werden. Auch wenn das Unternehmen bei den Daten eine Anonymisierung oder Pseudonymisierung vornimmt, sollte eine Datenschutz-Folgenabschätzung durchgeführt werden.

Folgende Fragen muss sich das Unternehmen dabei stellen:

  • Wie hoch ist das Risiko für die Rechte der Betroffenen, wenn die gewünschten Prozesse und Technologien eingesetzt werden?
  • Gibt es möglicherweise einfachere und sichere Methoden der Verarbeitung, um den gleichen Zweck zu erfüllen?

Achtung: Die DSFA gilt auch für personenbezogene Daten in Papierform!

Datenschutz-Folgenabschätzung Durchführung

Um eine Datenschutz-Folgenabschätzung durchführen zu können, müssen den bearbeitenden Personen alle relevanten Informationen zur Verfügung gestellt werden. Nur unter Berücksichtigung aller Aspekte kann eine belastbare Einschätzung des Datenschutzrisikos vorgenommen werden.

Die Durchführung der Datenschutz-Folgenabschätzung wird in Form eines Berichts dokumentiert. Hierfür wird zunächst die Verarbeitungstätigkeit festgelegt, die genauestens untersucht werden soll. Eine klare Abgrenzung des Geltungsbereiches ist dabei von Vorteil. Für verschiedene Verarbeitungsvorgänge müssen auch verschiedene DSFA’s erstellt werden.

Das DSFA-Team legt die benötigten Dokumente, Zuständigkeiten und Aufgaben in Form eines Projektplans fest. Danach beginnt es mit der Untersuchung der Erwartungen der betroffenen Personen. Dies kann in Form von Interviews oder der Kontaktaufnahme zu Verbraucherschutzverbänden geschehen.

Handelt es sich bei den betroffenen Personen um Beschäftigte, muss auch der Betriebsrat eingebunden werden. Dies kann beispielsweise bei der Einrichtung von Videoüberwachung oder anderer neuer Software der Fall sein.

Bei der Verarbeitung von Daten sind neben den betroffenen Personen häufig auch andere Unternehmen oder Auftragsverarbeiter:innen betroffen. Diese müssen ebenfalls in die Datenschutz-Folgenabschätzung integriert werden. Auch hier erfolgt die Informationsbeschaffung durch gezielte Nachfrage.

Häufig benötigte Unterlagen von Tochter- oder Dienstleistungsunternehmen:

  • Verzeichnis der Verarbeitungstätigkeit (VVT) nach Art. 30 DSGVO
  • Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
  • Datenschutzkonzept für die Verarbeitungstätigkeit
  • Datenflussdiagramme und Netzpläne;
  • Zugriffs- und Berechtigungskonzept;
  • Löschkonzept;
  • Verträge mit gemeinsam Verantwortlichen
  • Auftragsverarbeitungsverträge („AVV“)

Das DSFA-Team muss sich auf diese Weise ein genaues Bild von der untersuchten Verarbeitungstätigkeit machen. Daraus ergibt sich schlussendlich der DSFA-Bericht.

Dabei handelt es sich um eine systamatische Beschreibung der Verarbeitungsvorgänge. Die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung werden ausführlich aufgeführt.

Datenschutz-Folgenabschätzung Inhalt

  • Prozessschritte
  • Eingesetzte IT-Systeme, Produkte, Datenflüsse, Datenformate und Schnittstellen
  • Involvierte Parteien und betroffene Personen
  • Quantität und Qualität der Verarbeitung 
  • Zugriffsberechtigte Personen und die Weitergabe an Dritte
  • Speicherdauer der Daten

Zu den Gewährleistungszielen gehört:

  • Die Datenminimierung
  • Die Verfügbarkeit 
  • Die Integrität
  • Die Vertraulichkeit
  • Die Nichtverkettung
  • Die Transparenz
  • Und die Intervenierbarkeit der Daten

Die Gewährleistungsziele helfen dabei, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu definieren. Als Risiko gelten hierbei alle Ereignisse, die eintreten könnten und selbst einen Schaden darstellen oder einen Schaden herbeiführen können. Unter „Schaden“ können dabei alle physischen, materiellen und immateriellen Beeinträchtigungen zusammengefasst werden, die durch das neue Verfahren entstehen könnten. 

Die Einstufung der Eintrittswahrscheinlichkeit der verschiedenen Risiken sollte dabei durch geeignetes Fachpersonal erfolgen. Dabei müssen folgende Punkte beachtet werden:

  • Wie viele Risikoquellen rufen die Schäden hervor?
  • Welche Erfahrungen hat das Unternehmen in solchen Fällen bisher gemacht?
  • Mit welcher Wahrscheinlichkeit treten Folgeschäden auf?
  • Liegen bereits Statistiken zur Eintrittswahrscheinlichkeit vor?
  • Weist das IT-System bekannte oder mögliche Schwachstellen auf?

Neben der Eintrittswahrscheinlichkeit sollte zudem die Schadenshöhe und Risikoklasse bestimmt werden. Eine genaue Beschreibung des Prozesses finden Sie hier.

Gemäß den Ergebnissen muss anschließend das Team im Rahmen der Folgenabschätzung technische und organisatorische Maßnahmen zur Risikominimierung entwerfen. Hierfür müssen sowohl verantwortliche Personen als auch eine Umsetzungsfrist bestimmt werden. Daraufhin erfolgt eine Neubewertung der Folgenabschätzung unter Berücksichtigung der getroffenen Maßnahmen.

Die Wirksamkeit der Veränderungen wird daraufhin in verschiedenen Tests überprüft. In allen Fällen ist es von hoher Bedeutung, dass die DSFA in regelmäßigen Abständen überprüft und angepasst wird. 


E-Learnings und Online Schulungen für Mitarbeitende

Quellen

BfDI (2021). Das Standard-Datenschutzmodell. https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/SDM.html

BfDI (2021). Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen. https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html

DSGVO (2021). Art. 35 DSGVO. DatenschutzFolgenabschätzung. https://dsgvo-gesetz.de/art-35-dsgvo/

SRD Rechtsanwälte (2021). Datenschutz-Folgenabschätzung. https://www.srd-rechtsanwaelte.de/wp-content/uploads/2021/09/SRD-Whitepaper-Datenschutz-Folgenabschaetzung-DSFA.pdf

17. Dezember 2021
Wichtige Schulungen für Mitarbeiter:innen
03. Dezember 2021
Mobbing am Arbeitsplatz
lawpilots GmbH Recht. Einfach. Verstehen. lawpilots bietet innovative & praxisnahe E-Learnings Anonym hat 4,65 von 5 Sternen 1960 Bewertungen auf ProvenExpert.com