Datenschutz-Folgenabschätzung

(Datenschutzfolgeabschätzung) DSFA

Eine Datenschutz-Folgenabschätzung (Datenschutzfolgeabschätzung, als Abkürzung DSFA) ist laut Art. 35 DSGVO vor dem Beginn der geplanten Datenverarbeitung durchzuführen. Im Rahmen der Datenschutz Folgenabschätzung müssen Sie die Folgen und möglichen Risiken eines Verfahrens abschätzen und dokumentieren, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. 

Sofern das (sehr) hohe Risiko nicht durch geeignete technische und/oder organisatorische Maßnahmen gemindert werden kann, ist die vorherige Zustimmung der zuständigen Datenschutzaufsichtsbehörde einzuholen.

D3 Datenschutz ist Ihr zuverlässiger Partner zum Datenschutz und Datensicherheit. Unser umfassendes Leistungsspektrum deckt Datenschutz Audit, Datenschutz Managementsysteme (DSMS), technische u. organisatorische Maßnahmen (TOMs), Auftragsverarbeitungsverträge und Datenschutz-Schulungen ab. Alles aus einer Hand: präzise, korrekt und sicher

Was versteht man unter einer Datenschutz-Folgenabschätzung?

Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, haben Verantwortliche nach Art. 35 DSGVO die Pflicht, eine detaillierte Beschreibung und Bewertung bestehender Datenschutzrisiken in einem bestimmten Fall durchzuführen. Umgesetzt wird das mittels einer Datenschutz-Folgenabschätzung (DSFA).

Der Datenschutzbeauftragte prüft im Rahmen der DSFA die Risiken des Verfahrens für Betroffene und gibt am Ende der Prüfung eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Somit sollen Risiken und deren mögliche Folgen für Betroffene bewertet und frühzeitig Maßnahmen zur Verhinderung und Minimierung dieser implementiert werden.

Was muss eine Datenschutz-Folgenabschätzung enthalten?

Der Mindestinhalt einer DSFA ist in der DSGVO wie folgt festgelegt: 

  • Beschreibung der Verarbeitungsvorgänge und Zwecke
  • Notwendigkeit der Verarbeitung im Verhältnis zum Zweck
  • Gefährdungsbeurteilung
  • Geplante Korrekturmaßnahmen zur Risikominimierung 

Wird das Risiko als hoch oder sehr hoch eingestuft, so gilt Folgendes: 

  • Vor der Datenverarbeitung ist die zuständige Datenschutzaufsichtsbehörde zu konsultieren
  • Die Entscheidung der Aufsichtsbehörde, z.B. besondere Schutzmaßnahmen oder ein Verarbeitungsverbot, ist zu beachten.

Vorgehensweise

  1. Ermitteln Sie mit Hilfe einer Risikobewertung, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss. 
  2. Dokumentieren Sie das Ergebnis, bspw. in Ihrem Verarbeitungsverzeichnis.
  3. Für ähnliche Verarbeitungen mit ähnlich hohem Risiko genügt eine DSFA
 
So führen Sie eine Risikobewertung durch 

Zur Risikobestimmung gibt es keine einheitliche, gesetzlich vorgeschriebene Methode. Daher sollten Sie auf ein gängiges “Best Practice” Verfahren (z.B. CNIL, ISO) zurückgreifen.

Beispiel:

Bestimmen Sie das Datenschutzrisiko für den Betroffenen anhand objektiver Kriterien wie z.B. Umfang oder Verarbeitungszweck

  • nach der Eintrittswahrscheinlichkeit und
  • nach Schadensschwere bzw. Schutzbedarf.

In unserer Grafik steht grün für “normal”, gelb für “hoch” und rot für “sehr hoch”.

DSFA Risikobewertung

Wenn ein hohes oder sehr hohes Risiko vorliegt, müssen Sie eine Datenschutz-Folgenabschätzung durchführen.

Nach oben scrollen