11 min Zuletzt auktualisiert: 21.04.2023

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) entspricht einer Risikobewertung der sicheren Verarbeitung von personenbezogenen Daten in einem Unternehmen. Sie ist eine Form der Vorabbewertung bestimmter Verarbeitungsvorgänge.

Dabei gilt es sich nicht nur an die Vorgaben der DSGVO zu halten, sondern auch für das eigene und mögliche Partnerunternehmen die Sicherheit im Datenschutz zu erhöhen.

Die DSFA stellt eines der wichtigsten Instrumente der Datenschutz-Grundverordnung (DSGVO) dar. Ihre Anforderungen werden in Art. 35 der DSGVO und den Erwägungsgründen 84, 90, 91, 92 und 93 angegeben.

Warum gibt es die Datenschutz-Folgenabschätzung?

Die DSFA ist ein Instrument, um das Risiko möglicher Datenschutzverstöße zu verringern. Dabei sollen primär die Rechte und Freiheiten von natürlichen Personen geschützt werden.

Die Folgenabschätzung ist deshalb seit Erlass der DSGVO immer dann erforderlich, wenn die Verarbeitung personenbezogener Daten ein hohes Risiko für die betroffenen Personen beinhaltet.

Datenschutzfolgeabschätzung -  was ist das?

Wann ist sie notwendig?

Die DSFA ist durchzuführen, sobald eine Organisation neue Verfahren zur Verarbeitung von Daten einsetzen möchte, die:

„(…) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (…)“ haben

(Art. 35 DSGVO)

Die Aufsichtsbehörde hat für öffentliche und nicht öffentliche Stellen des Bundes Listen erstellt, in denen alle Formen der Verarbeitung aufgeführt sind, für die eine Datenschutzfolgeabschätzung notwendig ist:

In jedem Fall profitieren Organisationen durch die Durchführung der DSFA von Beginn an von der Identifizierung möglicher Risiken. Auf diese Weise können sie ihre Geschäftsprozesse sowie ihr Datenschutz- und Compliance-Management optimieren.

Wer macht die Datenschutz-Folgenabschätzung?

Sofern das Unternehmen über Datenschutzbeauftragten verfügt, sollte diese:r zurate gezogen werden. Als weisungsunabhängige Person sollte diese zur Vermeidung von möglichen Interessenkonflikten jedoch nicht selbst die DSFA durchführen. Hierfür bietet es sich vielmehr an ein Team aufzustellen.

Die verantwortlichen Personen sollten dabei über Kompetenzen im Datenschutz, der Bewertung von Risiken und in den konkreten Fachbereichen verfügen. Auch die IT-Verantwortlichen und Auftragsverarbeiterinnen und Auftragsverarbeiter müssen in den Erstellungsprozess der DSFA mit einbezogen werden. Es sollte ein interdisziplinäres Team zusammengestellt werden, das inhaltlich und fachlich die Erstellung und Bewertung der Risikoanalyse vornehmen kann.

Datenschutzfolgeabschätzung Beispiel

Beispiele

Wenn ein Unternehmen personenbezogene Daten von KundInnen an Dritte weiterleiten möchte, muss dies in jedem Fall geprüft werden. Auch wenn das Unternehmen bei den Daten eine Anonymisierung oder Pseudonymisierung vornimmt, sollte eine Datenschutz-Folgenabschätzung durchgeführt werden.

Folgende Fragen muss sich das Unternehmen dabei stellen:

  • Wie hoch ist das Risiko für die Rechte der Betroffenen, wenn die gewünschten Prozesse und Technologien eingesetzt werden?
  • Gibt es möglicherweise einfachere und sichere Methoden der Verarbeitung, um den gleichen Zweck zu erfüllen?

Achtung: Die DSFA gilt auch für personenbezogene Daten in Papierform!

Durchführung

Die Durchführung der Datenschutz-Folgenabschätzung wird in Form eines Berichts dokumentiert. Hierfür wird zunächst die Verarbeitungstätigkeit festgelegt, die genauestens untersucht werden soll.

Eine klare Abgrenzung des Geltungsbereiches ist dabei von Vorteil. Für verschiedene Verarbeitungsvorgänge müssen auch verschiedene DSFA’s erstellt werden.

Das DSFA-Team legt die benötigten Dokumente, Zuständigkeiten und Aufgaben in Form eines Projektplans fest. Danach beginnt es mit der Untersuchung der Erwartungen der betroffenen Personen. Dies kann in Form von Interviews oder der Kontaktaufnahme zu Verbraucherschutzverbänden geschehen.

Handelt es sich bei den betroffenen Personen um Beschäftigte, muss auch der Betriebsrat eingebunden werden. Dies kann beispielsweise bei der Einrichtung von Videoüberwachung oder anderer neuer Software der Fall sein.

Bei der Verarbeitung von Daten sind neben den betroffenen Personen häufig auch andere Unternehmen oder AuftragsverarbeiterInnen betroffen. Diese müssen ebenfalls in die Datenschutz-Folgenabschätzung integriert werden. Auch hier erfolgt die Informationsbeschaffung durch gezielte Nachfrage.

Um eine Datenschutz-Folgenabschätzung durchführen zu können, müssen den bearbeitenden Personen alle relevanten Informationen zur Verfügung gestellt werden. Nur unter Berücksichtigung aller Aspekte kann eine belastbare Einschätzung des Datenschutzrisikos vorgenommen werden.

Häufig benötigte Unterlagen von Tochter- oder Dienstleistungsunternehmen:

  • Verzeichnis der Verarbeitungstätigkeit (VVT) nach Art. 30 DSGVO
  • Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO
  • Datenschutzkonzept für die Verarbeitungstätigkeit
  • Datenflussdiagramme und Netzpläne;
  • Zugriffs- und Berechtigungskonzept;
  • Löschkonzept;
  • Verträge mit gemeinsam Verantwortlichen
  • Auftragsverarbeitungsverträge („AVV“)

Das DSFA-Team muss sich auf diese Weise ein genaues Bild von der untersuchten Verarbeitungstätigkeit machen. Daraus ergibt sich schlussendlich der Bericht.

Dabei handelt es sich um eine systamatische Beschreibung der Verarbeitungsvorgänge. Die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung werden ausführlich aufgeführt.

Hinweise zur DSFA

  • Prozessschritte
  • Eingesetzte IT-Systeme, Produkte, Datenflüsse, Datenformate und Schnittstellen
  • Involvierte Parteien und betroffene Personen
  • Quantität und Qualität der Verarbeitung
  • Zugriffsberechtigte Personen und die Weitergabe an Dritte
  • Speicherdauer der Daten

Zu den Gewährleistungszielen gehört:

  • Die Datenminimierung
  • Die Verfügbarkeit
  • Die Integrität
  • Die Vertraulichkeit
  • Die Nichtverkettung
  • Die Transparenz
  • Und die Intervenierbarkeit der Daten

Die Gewährleistungsziele helfen dabei, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu definieren. Als Risiko gelten hierbei alle Ereignisse, die eintreten könnten und selbst einen Schaden darstellen oder einen Schaden herbeiführen können. Unter „Schaden“ können dabei alle physischen, materiellen und immateriellen Beeinträchtigungen zusammengefasst werden, die durch das neue Verfahren entstehen könnten.

Die Einstufung der Eintrittswahrscheinlichkeit der verschiedenen Risiken sollte dabei durch geeignetes Fachpersonal erfolgen. Dabei müssen folgende Punkte beachtet werden:

  • Wie viele Risikoquellen rufen die Schäden hervor?
  • Welche Erfahrungen hat das Unternehmen in solchen Fällen bisher gemacht?
  • Mit welcher Wahrscheinlichkeit treten Folgeschäden auf?
  • Liegen bereits Statistiken zur Eintrittswahrscheinlichkeit vor?
  • Weist das IT-System bekannte oder mögliche Schwachstellen auf?

Neben der Eintrittswahrscheinlichkeit sollte zudem die Schadenshöhe und Risikoklasse bestimmt werden.

Gemäß den Ergebnissen muss anschließend das Team im Rahmen der Folgenabschätzung technische und organisatorische Maßnahmen zur Risikominimierung entwerfen. Hierfür müssen sowohl verantwortliche Personen als auch eine Umsetzungsfrist bestimmt werden. Daraufhin erfolgt eine Neubewertung der Folgenabschätzung unter Berücksichtigung der getroffenen Maßnahmen.

Die Wirksamkeit der Veränderungen wird daraufhin in verschiedenen Tests überprüft. In allen Fällen ist es von hoher Bedeutung, dass die DSFA in regelmäßigen Abständen überprüft und angepasst wird.

Quellen:

  1. BfDI (2021). Das Standard-Datenschutzmodell.
  2. BfDI (2021). Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen.
  3. DSGVO (2021). Art. 35 DSGVO. Datenschutz-Folgenabschätzung.
  4. SRD Rechtsanwälte (2021). Datenschutz-Folgenabschätzung.

Inhaltsangabe

Unsere Auszeichnungen

DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com

E-Learnings

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497