Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO

Datenschutz-Folgenabschätzung (DSFA): Risikobewertung nach Artikel 35 DSGVO

Die Datenschutz-Folgenabschätzung (DSFA) ist in Artikel 35 DSGVO geregelt und ist eine Risikoanalyse, welche zur Beschreibung und Bewertung von Risiken vor der Verarbeitung bestimmter Daten gilt. Dabei ist die Datenschutz-Folgenabschätzung ein komplexer Vorgang innerhalb des Datenschutzes, der nicht vor jeder Datenverarbeitungstätigkeit durchzuführen ist, sondern bei besonders kritischen Verarbeitungen, die entweder eine gewisse automatisierte Systematik anwenden oder personenbezogene Daten besonderer Kategorien (nach Artikel 9 und Artikel 10 der DSGVO) umfassen. Durch eine Einschätzung des Risikos bei der Verarbeitung, soll dieses reduziert werden.

Die Risikoanalyse bzw. Folgenabschätzung für Datenverarbeitungen gab es bereits im BDSG (alt). Das entsprechende Verfahren war in § 4d Abs. 5 und 6 geregelt und setzte eine Vorabkontrolle voraus, sobald automatisierte Verarbeitungsprozesse ein besonderes Risiken für Rechte und Freiheiten der Betroffenen mit sich brachten.

Wann ist eine Datenschutz-Folgenabschätzung notwendig?

In der Datenschutz-Grundverordnung in Artikel 35 ist eine allgemeine Beschreibung der drei Fälle zu finden, die in jedem Fall eine Datenschutz-Folgenabschätzung erfordern:

  • systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 (bspw. Gesundheitsdaten) oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (bspw. Videoüberwachung);

Außerdem regelt die DSGVO weiterhin, dass die Datenschutz-Aufsichtsbehörden eine Liste mit Verarbeitungstätigkeiten veröffentlichen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen und für die demnach eine DSFA unbedingt notwendig ist. Innerhalb von Deutschland haben die jeweiligen Aufsichtsbehörden der Bundesländer sowohl Positiv- als auch Negativlisten veröffentlicht.

Diese Positiv- bzw. Negativlisten sind als nicht abschließend zu betrachten und werden fortlaufend durch die die deutschen Datenschutz-Aufsichtsbehörden angepasst. Zur Orientierung lohnt sich der Blick auf die Website der zuständigen Datenschutz-Aufsichtsbehörden.

Hinweis

Den aktuellen Stand der Positiv- bzw. Negativlisten der Datenschutz-Aufsichtsbehörden arbeiten wir kontinuierlich in unserer Robin Data Software ein. So haben Sie alle Informationen an einem Ort.

Wie ist die Datenschutz-Folgenabschätzung durchzuführen?

Zu welchem Zeitpunkt ist die DSFA durchzuführen?

Eine Datenschutz-Folgenabschätzung ist ein komplexer Vorgang der vor Beginn der Verarbeitung durchgeführt werden muss. Es müssen aber auch bereits bestehende Verarbeitungstätigkeiten danach überprüft werden, ob diese auch unter die Pflicht einer DSFA fallen. Die Datenschutzkonferenz (DSK) bewertet die Erstellung einer DSFA als relativ zeitaufwendig und empfiehlt die Umsetzung, unterstützt durch ein Datenschutz-Management-System. Insbesondere auch da die Erstellung der Datenschutz-Folgenabschätzung kein einmaliger Vorgang, sondern viel mehr ein kontinuierlicher Prozess aus Vorbereitung, Durchführung, Umsetzung und Überprüfung ist. Die Bewertung von Risiken pro Verarbeitungstätigkeit ist mit der Robin Data Software möglich.

Wie ist die Datenschutz-Folgenabschätzung mit dem Verzeichnis von Verarbeitungstätigkeiten verknüpft?

Das Verzeichnis der Verarbeitungstätigkeiten enthält alle Datenverarbeitungsprozesse Ihres Unternehmens. Desto besser die Dokumentation der Verarbeitungstätigkeiten, desto einfacher ist die nachfolgende Datenschutz-Folgenabschätzung. Demnach ist das Verzeichnis auch der Ausgangspunkt für die DSFA und es erfolgt in diesem direkt die Risikobewertung der jeweiligen Verarbeitungstätigkeit sowie die Einstufung, ob die jeweilige Verarbeitungstätigkeit ein Datenschutz-Folgenabschätzung benötigt.

Schritt 1

Erstellung Verzeichnis der Verarbeitungstätigkeiten für Ihre Unternehmen

Schritt 2

Bewertung der Risiken der Verarbeitungstätigkeiten anhand einer Checkliste

Schritt 3

Erstellung DSFA für Verarbeitungstätigkeiten mit hohem Risiko

Was sind die Inhalte einer Datenschutz-Folgenabschätzung?

Die Risikobeschreibung

laut Artikel 35 der DSGVO eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen, inklusive eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.

Die Risikobehandlung

eine Bewertung der Gefahr für die Freiheitsrechte der betroffenen Personen durch Klassifizierung der Eintrittswahrscheinlichkeit und der Schadenshöhe sowie Abschließenden Bewertung des Risikos. Außerdem Maßnahmen zur Minimierung oder Bewältigung der Risiken.

Hinweis

Die Robin Data Software bildet die Dokumentation der Datenschutz-Folgenabschätzung gesetzeskonform und vollständig ab.

Wer muss eine Datenschutz-Folgenabschätzung durchführen?

Laut Artikel 35 Abs. 1 DSGVO muss der Verantwortliche die Datenschutz-Folgenabschätzung durchführen. Da es sich bei der DSFA um einen komplexen Vorgang handelt kann, so in Artikel 35 Abs. 2 DSGVO beschrieben, der Datenschutzbeauftragte bei der Durchführung unterstützen. Dies gilt nur für den Fall, dass ein Datenschutzbeauftragter benannt wurde. Lesen Sie in unseren Artikel mehr zur Bestellung eines Datenschutzbeauftragten.

Was kann passieren wenn Unternehmen keine DSFA durchführen?

Insofern ein Unternehmen keine Datenschutz-Folgenabschätzung durchführt, obwohl diese notwendig wäre, droht im mildesten Fall Abmahnungen im schlimmsten Fall Bußgelder durch die Datenschutz-Aufsichtsbehörden.  So drohen nach Artikel 83 Abs. 4 DSGVO bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Umsetzung der Datenschutz-Folgenabschätzung mit der Robin Data Software

Sollten Sie sich für die Umsetzung der Datenschutz-Folgenabschätzung mit der Robin Data Software interessieren, können Sie die einzelnen Artikel in unserem Hilfe-Center nachlesen oder unsere täglichen Online-Demos besuchen.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

DokumentationspflichtenPhoto by Scott Graham on Unsplash
Dokumentationspflichten der DSGVO: Jedes Unternehmen muss Datenschutz-Maßnahmen dokumentieren. Doch was genau muss dokumentiert werden?
BetroffenenrechtePhoto by Bill Oxford on Unsplash
Die DSGVO stärkt Betroffenenrechte. Was sollten Unternehmen beachten? Wie sind Betroffnenanfragen zu bearbeiten? Jetzt informieren und Bußgelder vermeiden!
Anonymisierungsverfahren
Anonymisierung und Datenschutz: Erfahren Sie welche Verfahren es gibt und was beachtet werden muss.