Open Data

Datenschutz-Folgenabschätzung: Wie Unternehmen Risiken vermeiden

Unternehmen, die nach Mai 2018 personenbezogene Daten verarbeiten, sollten sich rechtzeitig zur Datenschutz-Folgenabschätzung informieren. Diese tritt mit der EU-DSGVO in Kraft und kommt vor allem bei der Verarbeitung von besonders sensiblen Daten zum Einsatz. Die Datenschutz-Folgenabschätzung (DSFA) ersetzt dabei die bereits bekannte Vorabkontrolle. Im nachfolgenden Artikel erfahren Sie alles Wissenswerte zur DSFA.

Wozu ist die Datenschutz-Folgenabschätzung notwendig?

Wie die Vorabkontrolle wird die Datenschutz-Folgenabschätzung angewendet, um die Risiken der Betroffenen, die mit der Verarbeitung der personenbezogenen Daten einhergehen, zu bewerten und einzuschätzen. Neu hingegen: Mit der Datenschutz-Folgenabschätzung wird ermittelt, welche möglichen Folgen sich für die Betroffenen aus der Datenerhebung durch den Einsatz von neuen Technologien und Systemen ergeben. Die DSFA ist mit Inkrafttreten der EU-DSGVO ab Mai 2018 für Betreiber von neuen Technologien und bei der Verarbeitung von großen Datenmengen verpflichtend.


Wann kommt die DSFA zum Einsatz?

Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen wenn:

„(…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“

Datenschutz-Folgenabschätzung

 

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen
    ******
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
    ******
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

 

Hinweis: Immer wenn neue Technologien oder Systeme zum Einsatz kommen, ist eine DSFA verpflichtend.

 

Quelle: https://www.datenschutzbeauftragter-info.de/datenschutz-folgenabschaetzung/


Wie wird die Datenschutz-Folgenabschätzung durchgeführt?

Anhand einer Risikoanalyse werden anschließend Maßnahmen ermittelt, die die Risiken der Betroffenen einschränken bzw. minimieren. Neu hierbei ist: Der Datenschutzbeauftragte ist ab Mai 2018 nicht mehr für die Durchführung der Datenschutz-Folgenabschätzung zuständig, sondern die Verantwortlichen seitens der Unternehmen. Nutzen Unternehmen ein Tool, wie zum Beispiel LamaPoll, oder dritte Anbieter, sprich Auftragsverarbeiter, sind diese nicht verpflichtet, ihrerseits eine DSFA durchzuführen.


Was geschieht, wenn Unternehmen keine Maßnahmen zur Risiko-Eindämmung ergreifen?

Sofern Unternehmen keine Maßnahmen zur Eindämmung von Risiken in Betracht ziehen, sollte die zuständige Aufsichtsbehörde angefragt werden. Diese kann nach Überprüfung des vorliegenden Sachverhaltes, innerhalb von acht Wochen eine schriftliche Empfehlung zur Beseitigung und Eindämmung der Risiken an das jeweilige Unternehmen aussprechen. Die zuständige Aufsichtsbehörde hält sich ebenfalls vor, auch nach Durchführung einer DSFA, gegen zu prüfen, ob die ausgesprochenen Empfehlungen umgesetzt wurden. Sofern nach einer Verarbeitung Beschwerden oder Hinweise über die Nichteinhaltung bei der Behörde eingehen, wird eine erneute Überprüfung notwendig. Achtung: Bei Unterlassung und nicht ordnungsgemäßer Durchführung drohen für Unternehmen sehr hohe Bußgelder.


Wie sollten Sie sich Unternehmen am besten vorbereiten?

  • Einen Überblick Verschaffen zu allen datenverarbeitenden Vorgängen
  • Wer schreibt, der bleibt. In diesem Fall: Dokumentieren Sie die Daten, Datenflüsse
  • Halten Sie die technische Realisierung der Datenverarbeitung fest
  • Notieren Sie die Verantwortlichkeiten (Prozesse, Funktionen, Rollen)
  • Bisherige Datenverarbeitungen (die der Vorabkontrolle unterlagen) sollten weiterhin schriflich erfasst und dokumentiert werden
  • Verfahren für die keine Vorabkontrollen durchgeführt wurden, sollten ebenfalls schriftlich fixiert werden

 

Quellenangaben:


Weiterführende Informationen zur EU-Datenschutzgrundverordnung finden Sie hier.

Ein Gedanke zu „Datenschutz-Folgenabschätzung: Wie Unternehmen Risiken vermeiden“

  1. Ein fachlich sehr fundierter und gut geschriebener Artikel. Viele Unternehmer die ich kenne, kriegen bei so einer Flut von Fachbegriffen oft schon ein wenig „Reis-Aus“ Gefühl. Deshalb habe ich mal in einem Podcast versucht eine „harmlose“ Übersicht zu schaffen wo denn alles personenbezogene Daten stecken können. Wer mag: geruweb.de/dsgvopodcast

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert