Tablet auf Tisch

Datenschutz Folgenabschätzung

Einfache Durchführung der Datenschutz-Folgenabschätzung mithilfe unserer digitalen Datenschutz-Plattform

  • Über 1000 Kunden in Deutschland und Europa
  • Team von 40+ Datenschutzexperten
  • DEKRA- und TÜV-zertifizierte Experten

Jetzt anrufen

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Bei der Verarbeitung von personenbezogenen Daten greifen seit dem Inkrafttreten der DSGVO verschärfte Anforderungen. Was im Rahmen des Bundesdatenschutzgesetzes noch als Vorabkontrolle bekannt war, wurde im Zuge der Datenschutz-Grundverordnung zur Datenschutz-Folgeabschätzung. Insbesondere für kleine und mittlere Unternehmen stellt die Folgenabschätzung eine Herausforderung dar, da es sich hierbei um einen umfangreichen und aufwändigen Prozess handelt. Allerdings ist nicht jedes Unternehmen zu einer Datenschutz-Folgenabschätzung verpflichtet. Genauere Informationen, ob die DSGVO eine Folgenabschätzung von Ihnen verlangt, finden Sie hier.


Was ist eine Datenschutz-Folgenabschätzung?

Die EU-DSGVO sieht gemäß Artikel 35 eine Datenschutz-Folgenabschätzung vor. Hierbei handelt es sich um eine erweiterte Risikoeinschätzung, die vor bestimmten Verarbeitungen personenbezogener Daten stattfindet. Eine Risikoanalyse sieht die DSGVO generell für alle Datenverarbeitungen vor. Die Datenschutz-Folgenabschätzung unterscheidet sich dadurch, dass sie deutlich umfangreicher und komplexer ist und nur bei kritischen Verarbeitungsprozessen notwendig wird.

Das Verfahren ersetzt die im BDSG (alt) verankerte Vorabkontrolle. die vorgesehen ist, sobald die automatisierte Datenverarbeitung besondere Risiken für Recht und Freiheiten der Betroffenen aufweist. Mithilfe der Datenschutz-Folgenabschätzung sollen mögliche Risiken in der Datenverarbeitung beschrieben und bewertet werden. Dieser Prozess soll die Reduzierung möglicher Risiken zum Ziel haben.

Wann wird die Datenschutz-Folgenabschätzung notwendig?

Sobald eine Verarbeitung aufgrund Ihrer Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist gem. Art. 35 DSGVO eine Datenschutzfolgenabschätzung durchzuführen. Wann genau dies der Fall ist, ist nicht einheitlich definiert. In Art. 35 Abs. 3 DSGVO werden lediglich einige Beispiele genannt, unter anderem Profiling, die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten) oder eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung). Einen weiteren Anhaltspunkt für die Notwendigkeit einer solchen Datenschutzfolgenabschätzung sind die sog. Positiv- und Negativlisten der Aufsichtsbehörden (Art. 35 Abs. 4 und 5 DSGVO). Je nach Bundesland liegen öffentlich zugänglich verschiedenen Listen vor (nach Abs. 4), an der sich der Ersteller der Datenschutzfolgenabschätzung (DSFA) im jeweiligen Bundesland orientieren muss. Vereinzelt stellen die Aufsichtsbehörden zudem sog. White- und Blacklists (Abs. 5) zur Verfügung, denen zu entnehmen ist, wann eine DSFA notwendig ist bzw. wann nicht. Erschwerend kommt hinzu, dass sich die deutschen Aufsichtsbehörden der einzelnen Bundesländer bei der Regelung zur Notwendigkeit einer DSFA für einzelne Verarbeitungstätigkeiten bisher nicht einigen konnten. Ein Blick auf die Website der zuständigen Datenschutzaufsichtsbehörde Ihres Bundeslandes lohnt sich hier jedoch auf jeden Fall.


Wie erfolgt eine Datenschutz-Folgenabschätzung?

Die Uneinigkeit der Aufsichtsbehörden stellt auch hier ein großes Problem dar, da nicht final geklärt ist, wie eine Datenschutz-Folgenabschätzung aussehen soll. Ein allgemeingültiges Datenschutz-Folgenabschätzung Muster oder eine Vorlage ist u.a. deshalb nicht erstellbar. Hinzu kommt, dass die Folgenabschätzung abhängig vom Unternehmen und den Verarbeitungstätigkeiten personenbezogener Daten sehr individuell ist.

Sicher ist jedoch, dass sich an die detaillierten Anforderungen der DSGVO gehalten werden muss. Zunächst erfordert die einfache Risikoeinschätzung, die für jedes Unternehmen und alle Verarbeitungstätigkeiten verpflichtend ist, eine ausführliche Dokumentation der Verarbeitungsprozesse und des Verarbeitungszweckes. In einem nächsten Schritt erfolgt die Bewertung der Notwendigkeit sowie Verhältnismäßigkeit der Verarbeitungsprozesse in Bezug auf den Zweck und auf die Risiken der Rechte und Freiheiten für die betroffenen Personen. Die Datenschutz-Folgenabschätzung wird daraufhin nur bei besonders risikoreichen Verarbeitungen notwendig und umfasst darüber hinaus jegliche Maßnahmen und Strategien, die zur Reduzierung des Risikos einer Datenpanne beitragen. Dieser Prozess erfolgt  grundsätzlich in Absprache mit dem internen oder externen Datenschutzbeauftragten des Unternehmens.

Risikominimierung durch die Datenschutz-Folgenabschätzung

Mit einer Datenschutz-Folgenabschätzung sollen die Risiken für die Rechte und Freiheiten betroffener Personen ermittelt werden. Das Ziel ist dann, die Ergebnisse zu bewerten und die erkannten Risiken mit entsprechenden technischen und organisatorischen Maßnahmen (TOM) einzudämmen. Allerdings findet nicht nur eine Risikominimierung für Betroffene statt. Auch der datenschutzrechtlich Verantwortliche schützt sich durch eine Datenschutz-Folgenabschätzung, da er so sicherstellt, dass er Daten DSGVO-konform verarbeitet und dies auch nachweisen kann, sollte es notwendig werden.

 

Unsere Leistungspakete

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung. Unsere zertifizierten Datenschutzexperten beraten Sie stets mit größter Expertise.

Lock Icon

00
/ Monat

Medium Icon

00
/ Monat

Shield Icon

00
/ Monat

datenschutzexperte.de als Berater bei Datenschutz-Folgenabschätzungen

Sie sind sich unsicher, wie die Datenschutz-Folgenabschätzung für Ihr Unternehmen DSGVO-konform durchzuführen ist? Ihr externer Datenschutzbeauftragter von datenschutzexperte.de unterstützt Sie und Ihr Unternehmen bei der Durchführung der Folgenabschätzung und hilft Ihnen somit, Risiken einer Datenpanne zu minimieren. Über unser Datenschutz-Portal myDSE erhalten Sie Zugang zu Vorlagen und Mustern, die Ihnen eine Durchführung der DSFA erleichtern.

Sollten Sie zusätzliche Fragen haben und weitere Unterstützung im Bereich der Datenschutz-Folgenabschätzung benötigen, stehen wir Ihnen gerne mit einem telefonischen Beratungsgespräch zur Verfügung. Je nach Leistungspaket ist bereits eine unterschiedliche Anzahl an telefonischen Beratungsstunden im Paketpreis enthalten (Medium: 10 Beratungsstunden, Premium: 20 Beratungsstunden). Kunden des Basis-Leistungspakets oder Kunden, die das Freikontingent bereits überschritten haben, können jederzeit zusätzliche Beratungsstunden in Anspruch nehmen. Der Stundensatz beträgt 160 Euro für jede zusätzliche Beratungsstunde (Abrechnung per 15 Minuten). Alternativ zum Einzelstunden-Tarif bietet datenschutzexperte.de unterschiedliche Stundenpakete, die unabhängig vom ausgewählten Leistungspaket gebucht werden können:

  • 5 Beratungsstunden: 700 Euro (140 Euro pro Stunde statt 160 Euro pro Stunde)
  • 10 Beratungsstunden: 1300 Euro (130 Euro pro Stunde statt 160 Euro pro Stunde)
Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Datenschutz Folgeabschätzung"