Datenschutz- Folgenabschätzung
Mit uns meistern Sie Ihre gesetzlichen Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) im Handumdrehen. Sie profitieren von praxiserprobten Lösungen, z.B. zu den Themen Microsoft 365 und weiterer Cloud-Dienstleistungen sowie Einführung Künstlicher Intelligenz. Mit einer Datenschutz-Folgenabschätzung sind Sie auf der sicheren Seite und können Risiken realistisch einstufen und umgehen.
Ihre Vorteile:
Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.
Pragmatisch und wirksam
Wir arbeiten mit praxiserprobten und belastbaren Lösungen, damit Ihre Datenschutz-Folgenabschätzung volle Wirkung entfaltet.
Datenschutz- und IT-Sicherheitsexperten
Wir verbinden Recht und Technik und bieten Ihnen eine ganzheitliche Betrachtungsweise.
Risikoorientiert
Wir orientieren uns bei der Durchführung an den individuellen und real existierenden Risiken und sorgen für eine Risikominimierung.
Was ist eine Datenschutz-Folgenabschätzung?
Die Datenschutz-Folgenabschätzung (kurz: DSFA) ist eines der wichtigsten Elemente der Datenschutz-Grundverordnung (DSGVO) und stellt eine zentrale Pflicht dar, die viele Organisationen, die Daten verarbeiten, früher oder später (ggf. auch nie) nachkommen müssen. Dies hängt immer von der Art der Daten und deren Verarbeitung ab. Sinn und Zweck dieses Instruments ist, den Schutz von personenbezogenen Daten betroffener Personen sicherzustellen. Der DSFA liegt eine Risikoanalyse zu Grunde, wie man sie auch aus anderen Bereichen des täglichen (Wirtschafts-)Lebens kennt. Ermittelt werden Schadenspotenziale und Eintrittswahrscheinlichkeiten von theoretisch möglichen Ereignissen, wie z.B. Hacking, Datenverlust durch Brand usw.
Die daraus resultierenden potenziellen Folgen werden bewertet (besteht ein hohes oder ein vertretbares Risiko?) und auf Basis dessen entschieden, ob eine Datenverarbeitung erfolgen darf. Letztendlich liegt es also auch im Interesse der Organisation, eine DSFA durchzuführen, um damit Risiken und daraus entstehenden Sanktionen der Datenschutzaufsicht zu entgehen.
Datenschutz im Verein Oberlinhaus
Der Verein Oberlinhaus hat mit Unterstützung von Althammer & Kill ein Datenschutz-Managementsystem eingeführt, um komplexe Daten sicher zu verwalten und gesetzliche Vorgaben einzuhalten. Schulungen und ein externer Datenschutzbeauftragter sorgen für nachhaltige Lösungen.
Wann ist eine Datenschutz-Folgenabschätzung notwendig?
Grundsätzlich gilt, dass eine DSFA durchgeführt werden muss, wenn die „Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Der Wortlaut bezieht sich auf eine Verarbeitung. Es kann in jeder Organisation mehrere (geplante) Verarbeitungstätigkeiten geben, die die Durchführung einer DSFA notwendig machen geregelt in Artikel 35 Absatz 3 der DSGVO. Dies gilt insbesondere bei Verarbeitungstätigkeiten folgender Kriterien:
Sollte es im Zweifelsfall nicht ganz eindeutig sein, ob eine DSFA durchgeführt werden muss oder nicht, weil die Abschätzung des Risikos nur schwer möglich ist, sollte man immer auf Nummer sicher gehen und eine Abschätzung durchführen, auch um Sanktionen von Aufsichten zu entgehen. Diese muss dann spätestens drei Jahre später erneut durchgeführt werden.
Auch bei der Anwendung von Rechtsgrundlagen außerhalb der DSGVO kann es erforderlich sein, eine Datenschutz-Folgenabschätzung durchzuführen. So sind auch Organisationen, die dem evangelischen (DSG-EKD) oder katholischen (KDG) Datenschutzrecht unterliegen bei der Erfüllung entsprechender Voraussetzungen nicht von einer Vorabkontrolle in Form einer DSFA befreit.
Inhalte jeder Datenschutz-Folgenabschätzung sind:
Aus dieser Auflistung wird die Komplexität einer DSFA deutlich: Verantwortliche Stellen sind dazu aufgefordert, ihre Verarbeitungstätigkeiten sowie ihre technischen und organisatorischen Maßnahmen (TOM) dokumentiert vorliegen zu haben. Andernfalls kann eine Bewertung, ob von extern oder intern, nicht sachgemäß durchgeführt werden. Im Umkehrschluss bedeutet dies, dass auch eine Aufsichtsbehörde nicht erkennen kann, ob die TOM ausreichen, um einen Schutz zu gewährleisten. Im Zweifel kann sie dann die Verarbeitung untersagen und Bußgelder aussprechen.
Wir beraten Sie deutschlandweit und branchenübergreifend – so, wie es unsere Kundschaft bereits zu schätzen weiß.
Wann muss ich keine Datenschutz-Folgenabschätzung durchführen?
Jede DSFA beginnt mit einer Schwellwertanalyse. Aus dieser Grundlage geht hervor, ob eine DSFA durchzuführen ist – oder eben nicht. Ergibt die Prüfung, dass keine DSFA durchzuführen ist, ist auch dieses „Ergebnis“ dokumentiert festzuhalten, inklusive einer aussagekräftigen Begründung.
Sollte die Schwellwertanalyse ergeben, dass eine DSFA durchzuführen ist, gilt es noch zu prüfen, ob bereits für ähnliche Verarbeitungsvorgänge eine DSFA durchgeführt wurde. Ist dies der Fall, könnte eine erneute DSFA unter Umständen obsolet sein.
Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, zeigt die Schwellwertanalyse
Um einschätzen zu können, ob eine Datenschutz-Folgenabschätzung für den jeweiligen Verarbeitungsvorgang notwendig ist, sollte eine Vorababschätzung der Risiken durchgeführt werden. Hier muss das potenzielle Risiko für betroffene Personen abgeschätzt werden. Die Abschätzung ist zu dokumentieren. Es ist nicht immer notwendig, das Rad neu zu erfinden – bei ähnlichen Vorgängen genügt oft eine Einschätzung, sofern das Risiko vergleichbar ist.
Wie lässt sich so ein Risiko aber nun abschätzen? Zunächst sollte eingeschätzt werden, welche Daten von einem Verarbeitungsvorgang betroffen sind und wie schutzbedürftig diese sind (bspw. Kundendaten vs. Gesundheitsdaten). Dieses Vorgehen nennt sich Schutzbedarfsfeststellung.
Hinsichtlich des Schutzbedarfs gibt es verschiedene Stufen. Beim „normalen“ Schutzbedarf liegen nur geringfügige Schäden bei Veröffentlichung vor. Hierbei kann es sich zum Beispiel um die Veröffentlichung von Kontaktdaten handeln. Bei „hohem“ Schutzbedarf geht es bereits um sensible Daten mit hohen potenziellen Folgeschäden bei einer unrechtmäßigen Veröffentlichung. Hierzu zählen bspw. Steuerdaten oder Personaldaten. Bei „sehr hohem“ Schutzbedarf sprechen wir bereits von der Verletzung von Persönlichkeitsrechten, hierzu zählt bspw. die Veröffentlichung von Adressen von Zeugen in Strafverfahren.
Die Bewertung dieser Risiken muss stets objektiv geschehen und unter Berücksichtigung der Eintrittswahrscheinlichkeit. Wenn die Bewertung ergibt, dass ein hohes Risiko für Betroffene besteht, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
Sie haben Fragen zur Datenschutz-Folgenabschätzung?
Kontaktieren Sie uns gerne, wenn Sie Rat suchen oder Unterstützung zum Thema Datenschutz-Folgenabschätzung benötigen. Unser Team steht Ihnen jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.