Datenschutz- Folgenabschätzung

Datenschutz-
Folgenabschätzung
Pragmatische Lösungskonzepte für Datenschutz & Digitalisierung.
check_circle
Branchenbezogene Kompetenz
check_circle
Juristen & IT-Spezialisten
check_circle
Seit 2014 am Markt

Mit uns meistern Sie Ihre gesetzlichen Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) im Handumdrehen. Sie profitieren von praxiserprobten Lösungen, z.B. zu den Themen Microsoft 365 und weiterer Cloud-Dienstleistungen sowie Einführung Künstlicher Intelligenz. Mit einer Datenschutz-Folgenabschätzung sind Sie auf der sicheren Seite und können Risiken realistisch einstufen und umgehen.

Ihre Vorteile:

Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.

Pragmatisch und wirksam
Wir arbeiten mit praxiserprobten und belastbaren Lösungen, damit Ihre Datenschutz-Folgenabschätzung volle Wirkung entfaltet.

Datenschutz- und IT-Sicherheitsexperten
Wir verbinden Recht und Technik und bieten Ihnen eine ganzheitliche Betrachtungsweise.

Risikoorientiert
Wir orientieren uns bei der Durchführung an den individuellen und real existierenden Risiken und sorgen für eine Risikominimierung. 

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung (kurz: DSFA) ist eines der wichtigsten Elemente der Datenschutz-Grundverordnung (DSGVO) und stellt eine zentrale Pflicht dar, die viele Organisationen, die Daten verarbeiten, früher oder später (ggf. auch nie) nachkommen müssen. Dies hängt immer von der Art der Daten und deren Verarbeitung ab. Sinn und Zweck dieses Instruments ist, den Schutz von personenbezogenen Daten betroffener Personen sicherzustellen. Der DSFA liegt eine Risikoanalyse zu Grunde, wie man sie auch aus anderen Bereichen des täglichen (Wirtschafts-)Lebens kennt. Ermittelt werden Schadenspotenziale und Eintrittswahrscheinlichkeiten von theoretisch möglichen Ereignissen, wie z.B. Hacking, Datenverlust durch Brand usw.

Die daraus resultierenden potenziellen Folgen werden bewertet (besteht ein hohes oder ein vertretbares Risiko?) und auf Basis dessen entschieden, ob eine Datenverarbeitung erfolgen darf. Letztendlich liegt es also auch im Interesse der Organisation, eine DSFA durchzuführen, um damit Risiken und daraus entstehenden Sanktionen der Datenschutzaufsicht zu entgehen.

Wann ist eine Datenschutz-Folgenabschätzung notwendig?

Grundsätzlich gilt, dass eine DSFA durchgeführt werden muss, wenn die „Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Der Wortlaut bezieht sich auf eine Verarbeitung. Es kann in jeder Organisation mehrere (geplante) Verarbeitungstätigkeiten geben, die die Durchführung einer DSFA notwendig machen geregelt in Artikel 35 Absatz 3 der DSGVO. Dies gilt insbesondere bei Verarbeitungstätigkeiten folgender Kriterien:

check_circle
Bei denen neue Technologien, wie z.B. neuartige Cloud-Dienstleistungen eingesetzt werden
check_circle
Bei denen große Mengen sensibler Daten (personenbezogene Daten besonderer Kategorie) verarbeitet werden (Art. 35 Abs. 3b DSGVO)
check_circle
Bei denen eine systematische Überwachung stattfindet (allem voran: Videoüberwachung öffentlich zugänglicher Bereiche) (Art. 35 Abs. 3c DSGVO)
check_circle
Zudem existieren aufsichtsbehördliche Listen des Bundes, aus denen hervorgeht, ob eine DSFA durchzuführen ist (Art. 35 Abs. 4 DSGVO)

Sollte es im Zweifelsfall nicht ganz eindeutig sein, ob eine DSFA durchgeführt werden muss oder nicht, weil die Abschätzung des Risikos nur schwer möglich ist, sollte man immer auf Nummer sicher gehen und eine Abschätzung durchführen, auch um Sanktionen von Aufsichten zu entgehen. Diese muss dann spätestens drei Jahre später erneut durchgeführt werden.

Auch bei Stütze auf Rechtsgrundlagen außerhalb der DSGVO müssen unter Umständen DSFA durchgeführt werden. So sind auch Organisationen, die dem evangelischen (DSG-EKD) oder katholischen (KDG) Datenschutzrecht unterliegen bei Erfüllung entsprechender Voraussetzungen nicht von einer Vorabkontrolle in Form einer DSFA befreit.

Inhalte jeder Datenschutz-Folgenabschätzung sind:

check_circle
Systematische Beschreibung der geplanten Verarbeitungsvorgänge
check_circle
Bewertung der Notwendigkeit und Verhältnismäßigkeit
check_circle
Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
check_circle
Beschreibung der technischen und organisatorischen Maßnahmen zur Abmilderung der Risiken

Aus dieser Auflistung wird die Komplexität einer DSFA deutlich: Verantwortliche Stellen sind dazu aufgefordert, ihre Verarbeitungstätigkeiten sowie ihre technischen und organisatorischen Maßnahmen (TOM) dokumentiert vorliegen zu haben. Andernfalls kann eine Bewertung, ob von extern oder intern, nicht sachgemäß durchgeführt werden. Im Umkehrschluss bedeutet dies, dass auch eine Aufsichtsbehörde nicht erkennen kann, ob die TOM ausreichen, um einen Schutz zu gewährleisten. Im Zweifel kann sie dann die Verarbeitung untersagen und Bußgelder aussprechen.

Wir beraten Sie bundesweit und in allen Branchen, so wie es bereits unsere Kunden schätzen.

Wann muss ich keine Datenschutz-Folgenabschätzung durchführen?

Jede DSFA beginnt mit einer Schwellwertanalyse. Aus dieser Grundlage geht hervor, ob eine DSFA durchzuführen ist – oder eben nicht. Ergibt die Prüfung, dass keine DSFA durchzuführen ist, ist auch dieses „Ergebnis“ dokumentiert festzuhalten, inklusive einer aussagekräftigen Begründung.

Sollte die Schwellwertanalyse ergeben, dass eine DSFA durchzuführen ist, gilt es noch zu prüfen, ob bereits für ähnliche Verarbeitungsvorgänge eine DSFA durchgeführt wurde. Ist dies der Fall, könnte eine erneute DSFA unter Umständen obsolet sein.

Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, zeigt die Schwellwertanalyse

Um einschätzen zu können, ob eine Datenschutz-Folgenabschätzung für den jeweiligen Verarbeitungsvorgang notwendig ist, sollte eine Vorababschätzung der Risiken durchgeführt werden. Hier muss das potenzielle Risiko für betroffene Personen abgeschätzt werden. Die Abschätzung ist zu dokumentieren. Das Rad muss aber nicht immer neu erfunden werden, für ähnliche Vorgänge reicht eine Abschätzung, solange das Risiko ähnlich ist.

Wie lässt sich so ein Risiko aber nun abschätzen? Zunächst sollte eingeschätzt werden, welche Daten von einem Verarbeitungsvorgang betroffen sind und wie schutzbedürftig diese sind (bspw. Kundendaten vs. Gesundheitsdaten). Dieses Vorgehen nennt sich Schutzbedarfsfeststellung.

Hinsichtlich des Schutzbedarfs gibt es verschiedene Stufen. Beim „normalen“ Schutzbedarf liegen nur geringfügige Schäden bei Veröffentlichung vor. Hierbei kann es sich zum Beispiel um die Veröffentlichung von Kontaktdaten handeln. Bei „hohem“ Schutzbedarf geht es bereits um sensible Daten mit hohen potenziellen Folgeschäden bei einer unrechtmäßigen Veröffentlichung. Hierzu zählen bspw. Steuerdaten oder Personaldaten. Bei „sehr hohem“ Schutzbedarf sprechen wir bereits von der Verletzung von Persönlichkeitsrechten, hierzu zählt bspw. die Veröffentlichung von Adressen von Zeugen in Strafverfahren.

Die Bewertung dieser Risiken muss stets objektiv geschehen und unter Berücksichtigung der Eintrittswahrscheinlichkeit. Wenn die Bewertung ergibt, dass ein hohes Risiko für Betroffene besteht, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Sie haben Fragen zur Datenschutz-Folgenabschätzung?

Kontaktieren Sie uns gerne, wenn Sie Rat suchen oder Unterstützung zum Thema Datenschutz-Folgenabschätzung benötigen. Unsere Experten stehen Ihnen jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.

zurücksetzen