Datenschutz-Akademie » Datenschutz-Wiki » Datenschutz-Folgenabschätzung (DSFA)

Ein Mann erledigt seine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO auf einem Tablet

Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO

Die Datenschutz-Folgenabschätzung (DSFA) ist in Artikel 35 DSGVO geregelt und ist eine Risikoanalyse, welche zur Beschreibung und Bewertung von Risiken vor der Verarbeitung bestimmter Daten gilt. Dabei ist die Datenschutz-Folgenabschätzung ein komplexer Vorgang innerhalb des Datenschutzes, der nicht vor jeder Datenverarbeitungstätigkeit durchzuführen ist, sondern bei besonders kritischen Verarbeitungen, die entweder eine gewisse automatisierte Systematik anwenden oder personenbezogene Daten besonderer Kategorien (nach Artikel 9 und Artikel 10 der DSGVO) umfassen. Durch eine Einschätzung des Risikos bei der Verarbeitung, soll dieses reduziert werden.

Die Risikoanalyse bzw. Folgenabschätzung für Datenverarbeitungen gab es bereits im BDSG (alt). Das entsprechende Verfahren war in § 4d Abs. 5 und 6 geregelt und setzte eine Vorabkontrolle voraus, sobald automatisierte Verarbeitungsprozesse besondere Risiken für Rechte und Freiheiten der Betroffenen mit sich brachten.

Wichtigste Informationen über die Datenschutz-Folgenabschätzung (DSFA):

  • Mit der DSGVO besteht für Verantwortliche die Pflicht eine Risikoanalyse für Datenverarbeitungen durchzuführen
  • Diese Risikoanalyse ist die Grundlage für die Entscheidung, ob bei Auftreten eines hohen Risikos eine Datenschutz-Folgenabschätzung (abgekürzt „DSFA“) erstellt werden muss
  • Die rechtlichen Vorgaben zur DSFA sind im Artikel 35 DSGVO beschrieben
  • Bestimmte Organisationen sind verpflichtet eine DSFA durchzuführen
  • Die Datenschutz-Aufsichtsbehörden haben Listen mit Verarbeitungstätigkeiten erarbeitet, für die eine DSFA durchgeführt oder nicht durchgeführt werden muss
  • Die Durchführung der DSFA sowie der implementierten Maßnahmen zur Reduzierung identifizierter Risiken sind Teil der Dokumentations- und Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO
  • Der Datenschutzbeauftragte soll den Verantwortlichen bei der Durchführung der DSFA laut Art. 35 Abs. 2 DSGVO unterstützen

Whitepaper Datenschutz-Folgenabschätzung Schritt-für-Schritt datenschutzkonform umsetzen

Whitepaper: Datenschutz-Folgenabschätzung Schritt-für-Schritt datenschutzkonform umsetzen

Im Whitepaper Datenschutz-Folgenabschätzung Schritt-für-Schritt datenschutzkonform umsetzen finden Sie:

  • Erhalten Sie Informationen zur Definition der Datenschutz-Folgenabschätzung
  • Verstehen Sie die gesetzlichen Anforderungen aus Artikel 35 DSGVO
  • Lernen Sie die gesetzlichen Mindestanforderungen an eine DSFA kennen
  • Erfahren Sie wie Sie in nur 6 Schritten eine Datenschutz-Folgenabschätzung umsetzen
  • Inklusive Der Muss-Listen der DSK und des BfDI

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung oder abgekürzt „DSFA“ ist ein Instrument der Datenschutz-Grundverordnung (DSGVO), um personenbezogene Daten in Verarbeitungstätigkeiten zu schützen. Dieser Schutz wird durch eine Risikoanalyse sichergestellt, mit Hilfe derer mögliche Folgen von Verarbeitungs­vorgängen untersucht werden. Daher wird die DSFA auch als Teil des datenschutzrechtlichen Risikomanagements betrachtet. Die datenschutzrechtlichen Hintergründe sind in Artikel 35 der DSGVO definiert.

Ziel der Durchführung einer DSFA ist es, frühzeitig angemessene Schutzmaßnahmen in Form von technisch-organisatorischen Maßnahmen zu treffen, um die Eintrittswahrscheinlichkeit der identifizierten Risiken zu mindern.

Die Regelbeispiele gemäß Art. 35 Abs. 3 DSGVO: Wann ist eine Datenschutz-Folgenabschätzung verpflichtend?

Jedes Unternehmen sollte geplante Datenverarbeitungen dahingehend prüfen, ob diese ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Allerdings bedeutet nicht jede Verarbeitungstätigkeit die verpflichtende Durchführung einer Datenschutzfolgeabschätzung.

In der Datenschutz-Grundverordnung in Art. 35 Abs. 3 ist eine allgemeine Beschreibung der drei sogenannten „Regelbeispiele“ zu finden, die in jedem Fall eine Datenschutz-Folgenabschätzung erfordern:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 (bspw. Gesundheitsdaten) oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (bspw. Videoüberwachung);

Aus diesen drei Punkten lassen sich drei Fälle ableiten, in denen öffentliche und nichtöffentliche Stellen zu einer DSFA-Vorabkontrolle verpflichtet sind:

  • Wirtschaftsauskunfteien, die mit personenbezogenen Scoringverfahren arbeiten
  • Organisationen, die systematisch öffentlich zugängliche Räume per Video überwachen
  • Organisationen die Daten erheben, speichern und verarbeiten, die sich auf Straftaten und strafrechtliche Verurteilungen beziehen

Zu welchem Zeitpunkt ist die DSFA durchzuführen?

Eine Datenschutz-Folgenabschätzung ist ein komplexer Vorgang der vor Beginn der Verarbeitung durchgeführt werden muss. Es müssen aber auch bereits bestehende Verarbeitungstätigkeiten danach überprüft werden, ob diese auch unter die Pflicht einer DSFA fallen. Die Datenschutzkonferenz (DSK) bewertet die Erstellung einer DSFA als relativ zeitaufwendig und empfiehlt die Umsetzung, unterstützt durch ein Datenschutz-Management-System. Insbesondere auch da die Erstellung der Datenschutz-Folgenabschätzung kein einmaliger Vorgang, sondern viel mehr ein kontinuierlicher Prozess aus Vorbereitung, Durchführung, Umsetzung und Überprüfung ist. Die Bewertung von Risiken pro Verarbeitungstätigkeit ist mit der Robin Data Software möglich.

Was ist die Muss-Liste einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 4 DSGVO?

Gemäß Art. 35 Abs. 4 DSGVO sind die Datenschutz-Aufsichtsbehörden dazu verpflichtet eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutzfolgeabschätzung durchzuführen ist, zu veröffentlichen. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

Eine Übersicht der Muss-Listen je Bundesland finden Sie im Abschnitt Publikationen und Downloads.

Ist eine Verarbeitungstätigkeit in der Liste aufgeführt, so ist für diese eine Datenschutz-Folgenabschätzung durchzuführen. Die Listen der Aufsichtsbehörden werden fortlaufend erweitert und sind daher nicht als abschließend zu betrachten. Grundsätzlich müssen Verantwortliche prüfen, ob einer der Fälle aus Art. 35 Abs. 3 DSGVO oder ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vorliegt.

Hinweis

Den aktuellen Stand der Positiv- bzw. Negativlisten der Datenschutz-Aufsichtsbehörden arbeiten wir kontinuierlich in unserer Robin Data Software ein. So haben Sie alle Informationen an einem Ort.

Was sind die Mindestinhalte der Datenschutzfolgeabschätzung nach Artikel 35 Abs. 7 DSGVO?

Gemäß Art. 35 Abs. 7 DSGVO sind die Mindestanforderungen zur Durchführung einer Folgenabschätzung wie folgt beschrieben:

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Durchführung der Datenschutz-Folgenabschätzung in 6 Schritten

Schritt 1: Planung und Analyse der Verarbeitungstätigkeit

Die Datenschutz-Folgenabschätzung sollte vor Einführung der Verarbeitungstätigkeit durchgeführt werden. Als ersten Schritt sollten Verantwortliche deshalb geplante Verarbeitungstätigkeiten sammeln, beschreiben und anschließend mittels Risikoanalyse prüfen. Auch bestehende Verarbeitungstätigkeiten müssen dahingehend überprüft werden, ob diese auch unter die Pflicht einer Datenschutzfolgeabschätzung fallen. Die Erstellung der Datenschutz-Folgenabschätzung ist nicht als einmaliger Vorgang zu betrachten, sondern ein kontinuierlicher Prozess innerhalb des Datenschutz-Managements.

Schritt 2: Prüfen der Notwendigkeit einer DSFA

Empfehlenswert ist folgende Herangehensweise:

  • Prüfung: Ist die Verarbeitungstätigkeit Teil der „Muss-Liste“ der zuständigen Aufsichtsbehörde)
  • Falls nicht: Trifft einer der Punkte unter Art. 35 Abs. 3 DSGVO auf die Verarbeitungstätigkeit zu?
  • Falls nicht: Liegt ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vor? (Durchführen der Schwellwertanalyse)
  • Falls nicht: Es muss keine Datenschutz-Folgenabschätzung durchgeführt werden

Schritt 3: Bewertung von Verarbeitungstätigkeiten mittels Schwellwertanalyse

Das Verzeichnis der Verarbeitungstätigkeiten enthält alle Datenverarbeitungsprozesse Ihres Unternehmens. Desto besser die Dokumentation der Verarbeitungstätigkeiten, desto einfacher ist die nachfolgende Datenschutz-Folgenabschätzung. Demnach ist das Verzeichnis auch der Ausgangspunkt für die DSFA und bestenfalls erfolgt in diesem direkt die Schwellwertanalyse der jeweiligen Verarbeitungstätigkeit sowie die Einstufung, ob die jeweilige Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung benötigt.

  • Verantwortliche können bei Verarbeitungstätigkeiten mittels einer systematischen Risikobewertung, der sogenannten Schwellenwertanalyse, abschätzen, ob eine DSFA durchgeführt werden muss.
  • Die Ergebnisse der Schwellwertanalyse sind Teil der Datenschutz-Dokumentation
  • Empfehlenswert ist, die Schwellwertanalyse in der jeweiligen Verarbeitungstätigkeit zu dokumentieren
  • Vorstufe einer Risikoanalyse ist eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten (Kundendaten, Mitarbeiterdaten, Steuerdaten, Gesundheitsdaten etc.)

Eine Datenschutz-Folgenabschätzung ist für eine Verarbeitungstätigkeit notwendig, wenn die Mehrheit der Kriterien der Schwellwertanalyse erfüllt sind. Die Kriterien stammen aus  der WP 248 Rev. 01 zur Einordnung von Verarbeitungsvorgängen und sind die folgenden:

  • Daten schutzbedürftiger Betroffener werden verarbeitet
  • Übermittlung von Personendaten außerhalb der EU findet statt
  • Neuartige Technologien werden eingesetzt
  • Scoring, Profiling, Evaluation von Personen wird durchgeführt
  • Datenbestände von Personendaten werden verglichen oder zusammengeführt
  • Systematische Überwachung von Personen wird durchgeführt
  • Personendaten großen Umfangs werden verarbeitet
  • Erschwerte Ausübung von Betroffenenrechten liegt vor
  • Sensible Personendaten werden verarbeitet (Gemäß Art. 9 DSGVO)
  • Automatisierte Einzelfallentscheidungen werden durchgeführt

Schritt 4: Beurteilen der vorhandenen Risiken

Sind die bestehenden Risiken auf Basis der Verarbeitungstätigkeiten im Unternehmen identifiziert, muss die Höhe des Risikos für die Rechte und Freiheiten natürlicher Personen beurteilt werden. Dazu werden die folgenden Aspekte (Erwägungsgrund 75 der DSGVO) näher betrachtet:

  • Eintrittswahrscheinlichkeit und Schadenshöhe Die Eintrittswahrscheinlichkeit und die Schadenshöhe eines Risikos können als vernachlässigbar, niedrig, mittel oder als hoch eingestuft werden.
  • Gefahr für die Freiheitsrechte Betroffener: Die nicht datenschutzkonforme Verarbeitung personenbezogener Daten kann weitreichende Folgen haben. Sie kann zu einem physischen, materiellen oder immateriellen Schaden führen. Insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung u.v.m. führt.
  • Bewertung des Risiko: Auf Basis der möglichen Folgen für die Freiheitsrechte Betroffener muss das Risikos für die Betroffenen insgesamt eingeschätzt werden. Dabei reichen die Konsequenzen für Betroffene von keiner Beeinträchtigung, über keine besondere Beeinträchtigung, der Beeinträchtigung des Ansehens, der Existenz oder bis sogar zu einer Gefahr für Leib, Leben oder persönlicher Freiheit.
  • Maßnahmen zur Risikominimierung: Anhand der vorherigen Schritte müssen folglich Maßnahmen definiert werden, mit Hilfe derer das bestehende Risiko vermieden, übertragen oder abgemildert werden kann.
  • Umsetzungsaufwand: Ebenfalls einbezogen werden sollte der Aufwand der umzusetzenden Maßnahmen. Maßnahmen sollten mit einem verhältnismäßigen Aufwand in Bezug auf Zweck, Risiko und Möglichkeiten des Verantwortlichen umsetzbar sein.
  • Risikobewertung nach erfolgter Maßnahme: Anschließend schätzen Verantwortliche ein, ob das Risiko, auf Basis der implementierten Maßnahmen, angemessen reduziert werden konnte. Ist das Risiko nicht angemessen reduziert, darf die betroffene Verarbeitungstätigkeit nicht weiter forgeführt werden.

Schritt 5: Auswahl geeigneter Maßnahmen zur Reduzierung der Risiken

Die ermittelten Risiken müssen durch geeignete Maßnahmen reduziert oder sogar verhindert werden. Dazu werden entsprechende technische oder organisatorische Maßnahmen ausgewählt beurteilt und umgesetzt. Insofern sich bei der Umsetzung herausstellt, dass geplante Maßnahmen nicht wirksam oder ausreichend für die Reduzierung der Risiken sind, müssen erneut Maßnahmen ausgewählt oder aber die Verarbeitungstätigkeiten angepasst werden. Nach Etablierung der Maßnahmen, werden diese auf ihre Wirksamkeit getestet.

Schritt 6: Dokumentation durchgeführter Datenschutzfolgeabschätzung

Gemäß Art. 5 Abs. 2 DSGVO hat der Verantwortliche einer Dokumentations- und Rechenschaftspflicht verpflichtend nachzukommen, durch welche die Einhaltung der Datenschutz-Grundverordnung gegenüber der Aufsichtsbehörde nachgewiesen werden muss. Die Dokumentation der durchgeführten Datenschutz-Folgenabschätzung und eine Bestätigung der Wirksamkeit der implementierten Maßnahmen sind wichtige Bausteine zur Erfüllung dieser Pflicht.

Was kann passieren wenn Unternehmen keine DSFA durchführen?

Insofern ein Unternehmen keine Datenschutz-Folgenabschätzung durchführt, obwohl diese notwendig wäre, droht im mildesten Fall Abmahnungen im schlimmsten Fall Bußgelder durch die Datenschutz-Aufsichtsbehörden.  So drohen nach Artikel 83 Abs. 4 DSGVO bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Ist die Umsetzung der DSFA Aufgabe des Datenschutzbeauftragten?

Laut Artikel 35 Abs. 1 DSGVO muss der Verantwortliche die Datenschutz-Folgenabschätzung durchführen. Da es sich bei der DSFA um einen komplexen Vorgang handelt, soll der Datenschutzbeauftragte bei der Durchführung laut Art. 35 Abs. 2 DSGVO unterstützen. Dies gilt nur für den Fall, dass ein Datenschutzbeauftragter benannt wurde.

Unterstützung bei der Umsetzung von DSFAs

Die verschiedenen gesetzlichen und normativen Anforderungen der Datenschutz-Folgenabschätzung umzusetzen, kann kompliziert erscheinen. Regelmäßige Überprüfungen und Aktualisierungen von Verarbeitungstätigkeiten und die Risikobewertung für Betroffene sind ein essentieller Bestandteil Ihres Datenschutz-Management-Systems. Unsere Datenschutzbeauftragten (DSB) unterstützen Sie gern bei der Umsetzung Ihrer DSFAs. Informieren Sie sich über Vorteile, Ablauf und Kosten mit Robin Data.

Datenschutz-Folgenabschätzung mit der Robin Data Software

Verarbeitungstätigkeiten importieren

Das Besondere an Robin Data ist, dass die Datenschutz-Software bereits tausende Muster und Vorlagen aus dem Bereich Datenschutz enthält. Diese wurden von den Datenschutzbeauftragten und Rechtsanwälten von Robin Data in die Datenbank unserer Software eingepflegt. Sie können mit nur wenigen Klicks die auf Ihr Unternehmen zutreffenden Verarbeitungstätigkeiten aus der Datenbank von Robin Data importieren.

Importieren Sie die Vorlagen zu den Verarbeitungstätigkeiten in Ihre Datenschutz-Dokumentation

Schwellwertanalyse durchführen

Bewerten Sie anhand des online Formulars welche Risiken für die Betroffenen von dieser Verarbeitungstätigkeit ausgehen. Als Faustregel gilt, dass eine Datenschutz-Folgenabschätzung erforderlich ist, wenn mindestens 2 oder mehr der folgenden Kriterien erfüllt sind. Gegebenenfalls ist es erforderlich, eine Datenschutz-Folgenabschätzung zu erstellen.

Importieren Sie die Vorlagen zu den Verarbeitungstätigkeiten in Ihre Datenschutz-Dokumentation

Datenschutz-Folgenabschätzung vornehmen

Sie können je Verarbeitungstätigkeit mehrere DSFAs erstellen und so mehrere Risiken dieses Verfahrens getrennt behandeln. In vielen Fällen kann sich anbieten, nur eine DSFA je Verfahren zu erstellen. Sie erarbeiten Schritt für Schritt die notwendigen Inhalte der Datenschutz-Folgenabschätzung und etablieren relevante Inhalte zur Risikobehandlung.

Technische oder organisatorische Maßnahmen

Durchsuchen Sie die Datenbank von Robin Data nach geeigneten Maßnahmen zur Risikoreduzierung und importieren Sie diese in Ihre Datenschutz-Dokumentation. Die ausgewählten Maßnahmen können Sie direkt bei der entsprechenden Verarbeitungstätigkeit hinterlegen.

Datenschutz-Dokumentation nebenbei umsetzen

Durch die Erarbeitung der relevanten Schritte für eine Datenschutz-Folgenabschätzung in der Robin Data Software, dokumentieren Sie diese gleichzeitig und nebenbei automatisch. Wichtige Bestandteile wie das Verzeichnis der Verarbeitungstätigkeiten können Sie als PDF aus der Software exportieren und lokal speichern. So kommen Sie den Nachweis- und Rechenschaftspflichten der DSGVO nach und sind auf ein Überprüfung durch eine Datenschutz-Aufsichtsbehörde vorbereitet.

Besuchen Sie unsere kostenfreien Demos

Wir bieten regelmäßig Online-Demos an, in denen wir Ihnen unsere Datenschutz-Software Robin Data vorstellen. Bekommen Sie einen Einblick in den Aufbau und den Funktionsumfang des digitalen Löschkonzeptes der Robin Data Software. Unsere Experten geben Ihnen und anderen Interessenten umfassenden Einblick und beantworten Ihre Fragen.

Publikationen und Downloads

Die „Muss-Liste“ des Bundesdatenschutzbeauftragten für Datenschutz und Informationssicherheit

Datenschutzkonferenz

Bayern

Die „Muss-Listen“ weiterer Bundesländer

*Verweist für den nicht-öffentlichen Bereich auf die DSK Liste

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Erfahren Sie was pseudonomysierte Daten nach DSGVO sind und was Sie datenschutzrechtlich beachten müssen.
Was sind personenbezogene Daten im Datenschutz? Was ist bei der Verarbeitung nach DSGVO zu beachten?
Aufgaben, Befugnissen sowie Zuständigkeiten von Datenschutz-Aufsichtsbehörden. Ansprechpartner für Ihr Bundesland.