Data Protection Academy » Data Protection Wiki » Datenschutz-Folgenabschätzung (DSFA)

Ein Mann erledigt seine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO auf einem Tablet

Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO

The Datenschutz-Folgenabschätzung (DSFA) is in Article 35 GDPR geregelt und ist eine Risikoanalyse, welche zur Beschreibung und Bewertung von Risiken vor der Verarbeitung bestimmter Daten gilt. Dabei ist die Datenschutz-Folgenabschätzung ein komplexer Vorgang innerhalb des data protection, der nicht vor jeder Datenverarbeitungstätigkeit durchzuführen ist, sondern bei besonders kritischen Verarbeitungen, die entweder eine gewisse automatisierte Systematik anwenden oder individual-related data special categories (according to Article 9 and the Article 10 der DSGVO) umfassen. Durch eine Einschätzung des Risikos bei der Verarbeitung, soll dieses reduziert werden.

Die Risikoanalyse bzw. Folgenabschätzung für Datenverarbeitungen gab es bereits im BDSG (alt). Das entsprechende Verfahren war in § 4d Abs. 5 und 6 geregelt und setzte eine Vorabkontrolle voraus, sobald automatisierte Verarbeitungsprozesse besondere Risiken für Rechte und Freiheiten der Betroffenen mit sich brachten.

Wichtigste Informationen über die Datenschutz-Folgenabschätzung (DSFA):

  • Mit der DSGVO besteht für Verantwortliche die Pflicht eine Risikoanalyse für Datenverarbeitungen durchzuführen
  • Diese Risikoanalyse ist die Grundlage für die Entscheidung, ob bei Auftreten eines hohen Risikos eine Datenschutz-Folgenabschätzung (abgekürzt „DSFA“) erstellt werden muss
  • The legal requirements for DPIA are set out in the Article 35 GDPR described
  • Bestimmte Organisationen sind verpflichtet eine DSFA durchzuführen
  • Die Datenschutz-Aufsichtsbehörden haben Listen mit Verarbeitungstätigkeiten erarbeitet, für die eine DSFA durchgeführt oder nicht durchgeführt werden muss
  • Die Durchführung der DSFA sowie der implementierten Maßnahmen zur Reduzierung identifizierter Risiken sind Teil der Dokumentations- und Rechenschaftspflicht gemäß Art. 5 para. 2 GDPR.
  • Der Datenschutzbeauftragte soll den Verantwortlichen bei der Durchführung der DSFA laut Art. 35 (2) DSGVO unterstützen

Inhalt zum Thema Datenschutz-Folgenabschätzung und DSFA:

Whitepaper Datenschutz-Folgenabschätzung Schritt-für-Schritt datenschutzkonform umsetzen

Whitepaper: Datenschutz-Folgenabschätzung Schritt-für-Schritt datenschutzkonform umsetzen

Im Whitepaper Datenschutz-Folgenabschätzung Schritt-für-Schritt datenschutzkonform umsetzen finden Sie:

  • Get information on the Definition der Datenschutz-Folgenabschätzung
  • Understand the Legal requirements from Article 35 of the GDPR
  • Learn the minimum legal requirements to know about a DSFA
  • Learn how to work in only 6 Steps eine Datenschutz-Folgenabschätzung umsetzen
  • Including The Muss lists of the DSK and the BfDI

Unfortunately this content is currently only available in German. Please feel free to contact us for more information.

Was ist eine Datenschutz-Folgenabschätzung?

The Datenschutz-Folgenabschätzung oder abgekürzt „DSFA“ is an instrument of the General Data Protection Regulation (GDPR), um personenbezogene Daten in Verarbeitungstätigkeiten zu schützen. Dieser Schutz wird durch eine Risikoanalyse sichergestellt, mit Hilfe derer mögliche Folgen von Verarbeitungs­vorgängen untersucht werden. Daher wird die DSFA auch als Teil des datenschutzrechtlichen Risk management betrachtet. Die datenschutzrechtlichen Hintergründe sind in Artikel 35 der DSGVO defined.

Ziel der Durchführung einer DSFA ist es, frühzeitig angemessene Schutzmaßnahmen in Form von technisch-organisatorischen Maßnahmen zu treffen, um die Eintrittswahrscheinlichkeit der identifizierten Risiken zu mindern.

Die Regelbeispiele gemäß Art. 35 Abs. 3 DSGVO: Wann ist eine Datenschutz-Folgenabschätzung verpflichtend?

Jedes Unternehmen sollte geplante Datenverarbeitungen dahingehend prüfen, ob diese ein Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Allerdings bedeutet nicht jede Verarbeitungstätigkeit die verpflichtende Durchführung einer Datenschutzfolgeabschätzung.

In the General Data Protection Regulation in Art. 35 Para. 3 is a general description of the three so-called "examples of rules" zu finden, die in jedem Fall eine Datenschutz-Folgenabschätzung erfordern:

  • Systematic and comprehensive assessment persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • Extensive processing of special categories von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 (bspw. Gesundheitsdaten) oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (bspw. Videoüberwachung);

Aus diesen drei Punkten lassen sich drei Fälle ableiten, in denen öffentliche und nichtöffentliche Stellen zu einer DSFA-Vorabkontrolle verpflichtet sind:

  • Credit reporting agencies that deal with personal scoring procedure work
  • Organisations that systematically öffentlich zugängliche Räume per Video überwachen
  • Organisations that collect, store and process data relating to criminal offences and criminal convictions

Zu welchem Zeitpunkt ist die DSFA durchzuführen?

Eine Datenschutz-Folgenabschätzung ist ein komplexer Vorgang der before starting processing durchgeführt werden muss. Es müssen aber auch bereits bestehende Verarbeitungstätigkeiten danach überprüft werden, ob diese auch unter die Pflicht einer DSFA fallen. Die Data Protection Conference (DSK) bewertet die Erstellung einer DSFA als relativ zeitaufwendig und empfiehlt die Umsetzung, unterstützt durch ein Datenschutz-Management-System. Insbesondere auch da die Erstellung der Datenschutz-Folgenabschätzung kein einmaliger Vorgang, sondern viel mehr ein kontinuierlicher Prozess aus Vorbereitung, Durchführung, Umsetzung und Überprüfung ist. Die Bewertung von Risiken pro Verarbeitungstätigkeit ist mit der Robin Data ComplianceOS® möglich.

Was ist die Muss-Liste einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 4 DSGVO?

Gemäß Art. 35 (4) DSGVO sind die Datenschutz-Aufsichtsbehörden dazu verpflichtet eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutzfolgeabschätzung durchzuführen ist, zu veröffentlichen. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss.

You will find an Übersicht der Muss-Listen je Bundesland you will find in the section Publications and downloads.

Ist eine Verarbeitungstätigkeit in der Liste aufgeführt, so ist für diese eine Datenschutz-Folgenabschätzung durchzuführen. Die Listen der Aufsichtsbehörden werden fortlaufend erweitert und sind daher nicht als abschließend zu betrachten. Grundsätzlich müssen Verantwortliche prüfen, ob einer der Fälle aus Art. 35 (3) DSGVO or a high risk according to Art. 35 para. 1 DSGVO is available.

Note

Den aktuellen Stand der Positiv- bzw. Negativlisten der Datenschutz-Aufsichtsbehörden arbeiten wir kontinuierlich in unserer Robin Data Software ein. So haben Sie alle Informationen an einem Ort.

Was sind die Mindestinhalte der Datenschutzfolgeabschätzung nach Artikel 35 Abs. 7 DSGVO?

Gemäß Art. 35 (7) DSGVO sind die Mindestanforderungen zur Durchführung einer Folgenabschätzung described as follows:

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Durchführung der Datenschutz-Folgenabschätzung in 6 Schritten

Schritt 1: Planung und Analyse der Verarbeitungstätigkeit

Die Datenschutz-Folgenabschätzung sollte vor Einführung der Verarbeitungstätigkeit durchgeführt werden. Als ersten Schritt sollten Verantwortliche deshalb geplante Verarbeitungstätigkeiten sammeln, beschreiben und anschließend mittels Risikoanalyse prüfen. Auch bestehende Verarbeitungstätigkeiten müssen dahingehend überprüft werden, ob diese auch unter die Pflicht einer Datenschutzfolgeabschätzung fallen. Die Erstellung der Datenschutz-Folgenabschätzung ist nicht als einmaliger Vorgang zu betrachten, sondern ein kontinuierlicher Prozess innerhalb des Datenschutz-Managements.

Schritt 2: Prüfen der Notwendigkeit einer DSFA

The following approach is recommended:

  • Prüfung: Ist die Verarbeitungstätigkeit Teil der „Must-List“ der zuständigen Aufsichtsbehörde)
  • If not: If one of the points under Art. 35 (3) DSGVO auf die Verarbeitungstätigkeit zu?
  • If not: Is there a high risk according to Art. 35 para. 1 DSGVO vor? (Durchführen der Threshold analysis)
  • Falls nicht: Es muss keine Datenschutz-Folgenabschätzung durchgeführt werden

Schritt 3: Bewertung von Verarbeitungstätigkeiten mittels Schwellwertanalyse

Das Verzeichnis der Verarbeitungstätigkeiten enthält alle Datenverarbeitungsprozesse Ihres Unternehmens. Desto besser die Dokumentation der Verarbeitungstätigkeiten, desto einfacher ist die nachfolgende Datenschutz-Folgenabschätzung. Demnach ist das Verzeichnis auch der Ausgangspunkt für die DSFA und bestenfalls erfolgt in diesem direkt die Schwellwertanalyse der jeweiligen Verarbeitungstätigkeit sowie die Einstufung, ob die jeweilige Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung benötigt.

  • Verantwortliche können bei Verarbeitungstätigkeiten mittels einer systematischen Risikobewertung, der sogenannten Schwellenwertanalyse, abschätzen, ob eine DSFA durchgeführt werden muss.
  • The results of the threshold analysis are part of the data protection documentation
  • Empfehlenswert ist, die Schwellwertanalyse in der jeweiligen Verarbeitungstätigkeit zu dokumentieren
  • The preliminary stage of a risk analysis is an assessment of the need for protection of the personal data to be processed based on the types of data (customer data, employee data, tax data, health data, etc.).

Eine Datenschutz-Folgenabschätzung ist für eine Verarbeitungstätigkeit notwendig, wenn die Mehrheit der threshold analysis criteria erfüllt sind. Die Kriterien stammen aus  der WP 248 Rev. 01 zur Einordnung von Verarbeitungsvorgängen und sind die folgenden:

  • Daten schutzbedürftiger Betroffener werden verarbeitet
  • Übermittlung von Personendaten außerhalb der EU findet statt
  • Novel technologies are used
  • Scoring, Profiling, Evaluation von Personen wird durchgeführt
  • Datenbestände von Personendaten werden verglichen oder zusammengeführt
  • Systematische Überwachung von Personen wird durchgeführt
  • Personendaten großen Umfangs werden verarbeitet
  • Erschwerte Ausübung von Betroffenenrechten liegt vor
  • Sensible Personendaten werden verarbeitet (Gemäß Art. 9 DSGVO)
  • Automatisierte Einzelfallentscheidungen werden durchgeführt

Step 4: Assess the existing risks

Sind die bestehenden Risiken auf Basis der Verarbeitungstätigkeiten im Unternehmen identifiziert, muss die Höhe des Risikos für die Rechte und Freiheiten natürlicher Personen beurteilt werden. Dazu werden die folgenden Aspekte (Erwägungsgrund 75 der DSGVO) näher betrachtet:

  • Eintrittswahrscheinlichkeit und Schadenshöhe Die Eintrittswahrscheinlichkeit und die Schadenshöhe eines Risikos können als vernachlässigbar, niedrig, mittel oder als hoch eingestuft werden.
  • Gefahr für die Freiheitsrechte Betroffener: Die nicht datenschutzkonforme Verarbeitung personenbezogener Daten kann weitreichende Folgen haben. Sie kann zu einem physischen, materiellen oder immateriellen Schaden führen. Insbesondere wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung u.v.m. führt.
  • Assessment of the risk: Auf Basis der möglichen Folgen für die Freiheitsrechte Betroffener muss das Risikos für die Betroffenen insgesamt eingeschätzt werden. Dabei reichen die Konsequenzen für Betroffene von keiner Beeinträchtigung, über keine besondere Beeinträchtigung, der Beeinträchtigung des Ansehens, der Existenz oder bis sogar zu einer Gefahr für Leib, Leben oder persönlicher Freiheit.
  • Maßnahmen zur Risikominimierung: Anhand der vorherigen Schritte müssen folglich Maßnahmen definiert werden, mit Hilfe derer das bestehende Risiko vermieden, übertragen oder abgemildert werden kann.
  • Implementation effort: Ebenfalls einbezogen werden sollte der Aufwand der umzusetzenden Maßnahmen. Maßnahmen sollten mit einem verhältnismäßigen Aufwand in Bezug auf Zweck, Risiko und Möglichkeiten des Verantwortlichen umsetzbar sein.
  • Risikobewertung nach erfolgter Maßnahme: Anschließend schätzen Verantwortliche ein, ob das Risiko, auf Basis der implementierten Maßnahmen, angemessen reduziert werden konnte. Ist das Risiko nicht angemessen reduziert, darf die betroffene Verarbeitungstätigkeit nicht weiter forgeführt werden.

Schritt 5: Auswahl geeigneter Maßnahmen zur Reduzierung der Risiken

Die ermittelten Risiken müssen durch geeignete Maßnahmen reduziert oder sogar verhindert werden. Dazu werden entsprechende technische oder organisatorische Maßnahmen ausgewählt beurteilt und umgesetzt. Insofern sich bei der Umsetzung herausstellt, dass geplante Maßnahmen nicht wirksam oder ausreichend für die Reduzierung der Risiken sind, müssen erneut Maßnahmen ausgewählt oder aber die Verarbeitungstätigkeiten angepasst werden. Nach Etablierung der Maßnahmen, werden diese auf ihre Wirksamkeit getestet.

Schritt 6: Dokumentation durchgeführter Datenschutzfolgeabschätzung

Gemäß Art. 5 para. 2 GDPR. hat der Verantwortliche einer Dokumentations- und Rechenschaftspflicht verpflichtend nachzukommen, durch welche die Einhaltung der Datenschutz-Grundverordnung gegenüber der Aufsichtsbehörde nachgewiesen werden muss. Die Dokumentation der durchgeführten Datenschutz-Folgenabschätzung und eine Bestätigung der Wirksamkeit der implementierten Maßnahmen sind wichtige Bausteine zur Erfüllung dieser Pflicht.

Was kann passieren wenn Unternehmen keine DSFA durchführen?

Insofern ein Unternehmen keine Datenschutz-Folgenabschätzung durchführt, obwohl diese notwendig wäre, droht im mildesten Fall Abmahnungen im schlimmsten Fall Bußgelder durch die Datenschutz-Aufsichtsbehörden.  So drohen nach Article 83(4) of the GDPR bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Is the implementation of the DPIA the responsibility of the data protection officer?

According to Article 35(1) GDPR muss der Verantwortliche die Datenschutz-Folgenabschätzung durchführen. Da es sich bei der DSFA um einen komplexen Vorgang handelt, soll der Data Protection Officer bei der Durchführung laut Art. 35 (2) DSGVO unterstützen. Dies gilt nur für den Fall, dass ein Datenschutzbeauftragter benannt wurde.

Unterstützung bei der Umsetzung von DSFAs

Die verschiedenen gesetzlichen und normativen Anforderungen der Datenschutz-Folgenabschätzung umzusetzen, kann kompliziert erscheinen. Regelmäßige Überprüfungen und Aktualisierungen von Verarbeitungstätigkeiten und die Risikobewertung für Betroffene sind ein essentieller Bestandteil Ihres Datenschutz-Management-Systems. Unsere Datenschutzbeauftragten (DSB) unterstützen Sie gern bei der Umsetzung Ihrer DSFAs. Informieren Sie sich über Vorteile, Ablauf und Kosten mit Robin Data.

Discover COS function DFSA

Datenschutz-Folgenabschätzung mit der Robin Data Software

Verarbeitungstätigkeiten importieren

The special thing about Robin Data is that the data protection software already has thousands examples and templates aus dem Bereich Datenschutz enthält. Diese wurden von den Datenschutzbeauftragten und Rechtsanwälten von Robin Data in die Datenbank unserer compliance platform. eingepflegt. Sie können mit nur wenigen Klicks die auf Ihr Unternehmen zutreffenden Verarbeitungstätigkeiten aus der Datenbank von Robin Data importieren.

Importieren Sie die Vorlagen zu den Verarbeitungstätigkeiten in Ihre Datenschutz-Dokumentation

Schwellwertanalyse durchführen

Bewerten Sie anhand des online Formulars welche Risiken für die Betroffenen von dieser Verarbeitungstätigkeit ausgehen. Als Faustregel gilt, dass eine Datenschutz-Folgenabschätzung erforderlich ist, wenn mindestens 2 oder mehr der folgenden Kriterien erfüllt sind. Gegebenenfalls ist es erforderlich, eine Datenschutz-Folgenabschätzung zu erstellen.

Importieren Sie die Vorlagen zu den Verarbeitungstätigkeiten in Ihre Datenschutz-Dokumentation

Datenschutz-Folgenabschätzung vornehmen

Sie können je Verarbeitungstätigkeit mehrere DSFAs erstellen und so mehrere Risiken dieses Verfahrens getrennt behandeln. In vielen Fällen kann sich anbieten, nur eine DSFA je Verfahren zu erstellen. Sie erarbeiten Schritt für Schritt die notwendigen Inhalte der Datenschutz-Folgenabschätzung und etablieren relevante Inhalte zur Risikobehandlung.

Technische oder organisatorische Maßnahmen

Durchsuchen Sie die Datenbank von Robin Data nach geeigneten Maßnahmen zur Risikoreduzierung und importieren Sie diese in Ihre Datenschutz-Dokumentation. Die ausgewählten Maßnahmen können Sie direkt bei der entsprechenden Verarbeitungstätigkeit hinterlegen.

Implement data protection documentation on the side

Durch die Erarbeitung der relevanten Schritte für eine Datenschutz-Folgenabschätzung in der Robin Data Software, dokumentieren Sie diese gleichzeitig und nebenbei automatisch. Wichtige Bestandteile wie das Verzeichnis der Verarbeitungstätigkeiten können Sie als PDF aus der Software exportieren und lokal speichern. So kommen Sie den Nachweis- und Rechenschaftspflichten der DSGVO nach und sind auf ein Überprüfung durch eine Datenschutz-Aufsichtsbehörde vorbereitet.

Visit our free demos

Wir bieten regelmäßig Online-Demos an, in denen wir Ihnen unsere Datenschutz-Software Robin Data vorstellen. Bekommen Sie einen Einblick in den Aufbau und den Funktionsumfang des digitalen Löschkonzeptes der Robin Data Software. Unsere Experten geben Ihnen und anderen Interessenten umfassenden Einblick und beantworten Ihre Fragen.

Book a demo

Publications and downloads

Europäischen Datenschutzausschuss

Französischen Datenschutz-Aufsichtsbehörde

Die „Muss-Liste“ des Bundesdatenschutzbeauftragten für Datenschutz und Informationssicherheit

Data Protection Conference

Bavaria

Die „Muss-Listen“ weiterer Bundesländer

*Verweist für den nicht-öffentlichen Bereich auf die DSK List

Caroline Schwabe
Latest posts by Caroline Schwabe (see all)

Das könnte Sie auch interessieren:

Personal data

What are personal data in data protection? What must be observed when processing in accordance with GDPR?
Read more

Datenschutz-Aufsichtsbehörde

Aufgaben, Befugnissen sowie Zuständigkeiten von Datenschutz-Aufsichtsbehörden. In Europa und in Deutschland pro Bundesland
Read more

Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeit nach Art. 30 DSGVO. Schritt für Schritt erklärt mit umfangreichen Informationen. Datenschutz einfach gemacht.
Read more