Tablet auf Tisch

Datenschutz Folgenabschätzung

Einfache Durchführung der Datenschutz-Folgenabschätzung mithilfe von datenschutzexperte.de

  • Über 1000 Kunden in Deutschland und Europa
  • Team von 55+ Datenschutzexperten
  • DEKRA- und TÜV-zertifizierte Experten

Jetzt anrufen

Bei der Verarbeitung von personenbezogenen Daten greifen seit dem Inkrafttreten der DSGVO verschärfte Anforderungen. Was früher im Rahmen des alten Bundesdatenschutzgesetzes noch als Vorabkontrolle bekannt war, wurde im Zuge der Datenschutz-Grundverordnung zur Datenschutz-Folgeabschätzung. Insbesondere für kleine und mittlere Unternehmen stellt die Folgenabschätzung eine Herausforderung dar, da es sich hierbei um einen umfangreichen und aufwändigen Prozess handelt. Allerdings ist nicht jedes Unternehmen zu einer Datenschutz-Folgenabschätzung verpflichtet. Genauere Informationen, ob die DSGVO eine Folgenabschätzung von Ihnen verlangt, finden Sie hier.


Was ist eine Datenschutz-Folgenabschätzung?

Die EU-DSGVO sieht gemäß Artikel 35 eine Datenschutz-Folgenabschätzung (DSFA) vor. Hierbei handelt es sich um eine erweiterte Risikoeinschätzung, die vor bestimmten Verarbeitungen personenbezogener Daten stattfindet. Eine Risikoanalyse sieht die DSGVO generell für alle Datenverarbeitungen vor. Die Datenschutz-Folgenabschätzung unterscheidet sich dadurch, dass sie deutlich umfangreicher und komplexer ist und nur bei kritischen Verarbeitungsprozessen notwendig wird.

Das Verfahren ersetzt die im BDSG (alt) verankerte Vorabkontrolle, die vorgesehen ist, sobald die automatisierte Datenverarbeitung besondere Risiken für Recht und Freiheiten der Betroffenen aufweist. Mithilfe der Datenschutz-Folgenabschätzung sollen mögliche Risiken in der Datenverarbeitung beschrieben und bewertet werden. Dieser Prozess soll die Reduzierung möglicher Risiken zum Ziel haben.

Als Vorgehen können Sie sich folgendes merken:

  • Erfassen: Wo im Unternehmen werden personenbezogene Daten verarbeitet? Wie sieht das Verfahren der Verarbeitung aus und welchem Zweck dient diese?

  • Nun müssen Notwendigkeit und Verhältnismäßigkeit dieser konkreten Verarbeitung jeweils im Verhältnis zu dem Zweck der Verarbeitung ermittelt werden.

  • Risikoanalyse: stellt diese Verarbeitung ein Risiko für die Rechte und Freiheiten einer betroffenen Person dar? Können etwaige Sicherheitsrisiken durch technische und organisatorische Maßnahmen (TOM) abgeschwächt werden?

  • Datenschutzfolgenabschätzung

Wann wird die Datenschutz-Folgenabschätzung notwendig?

Sobald eine Verarbeitung aufgrund Ihrer Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist gem. Art. 35 DSGVO eine Datenschutzfolgenabschätzung durchzuführen. Wann genau dies der Fall ist, ist nicht einheitlich definiert. In Art. 35 Abs. 3 DSGVO werden lediglich einige Beispiele genannt, unter anderem Profiling, die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten) oder eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung).

Einen weiteren Anhaltspunkt für die Notwendigkeit einer solchen Datenschutzfolgenabschätzung sind die sog. Positiv- und Negativlisten der Aufsichtsbehörden (Art. 35 Abs. 4 und 5 DSGVO). Je nach Bundesland liegen öffentlich zugänglich verschiedenen Listen vor (nach Abs. 4), an der sich der Ersteller der Datenschutzfolgenabschätzung (DSFA) im jeweiligen Bundesland orientieren muss. Vereinzelt stellen die Aufsichtsbehörden zudem sog. Blacklists (nach Abs. 4) und optional auch Whitelists (Abs. 5) zur Verfügung, denen zu entnehmen ist, wann eine DSFA notwendig ist bzw. wann nicht.

Erschwerend kommt hinzu, dass sich die deutschen Aufsichtsbehörden der einzelnen Bundesländer bei der Regelung zur Notwendigkeit einer DSFA für einzelne Verarbeitungstätigkeiten bisher nicht einigen konnten. Ein Blick auf die Website der zuständigen Datenschutzaufsichtsbehörde Ihres Bundeslandes lohnt sich hier jedoch auf jeden Fall.


Risikominimierung durch die Datenschutz-Folgenabschätzung

Mit einer Datenschutz-Folgenabschätzung sollen die Risiken für die Rechte und Freiheiten betroffener Personen ermittelt werden. Das Ziel ist dann, die Ergebnisse zu bewerten und die erkannten Risiken mit entsprechenden technischen und organisatorischen Maßnahmen (TOM) einzudämmen. Allerdings findet nicht nur eine Risikominimierung für Betroffene statt. Auch der datenschutzrechtlich Verantwortliche schützt sich durch eine Datenschutz-Folgenabschätzung, da er so sicherstellt, dass er Daten DSGVO-konform verarbeitet und dies auch nachweisen kann, sollte es notwendig werden.


Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.


datenschutzexperte.de als Berater bei Datenschutz Folgenabschätzungen

Sollten Sie weiterführende Fragen haben oder weitere Unterstützung im Bereich der Datenschutz-Folgenabschätzung benötigen, stehen wir Ihnen gerne mit einem telefonischen Beratungsgespräch zur Verfügung, sofern Sie Nutzer unserer Datenschutzsoftware sind und wir Ihnen einen externen Datenschutzbeauftragten stellen. Je nach Leistungspaket, für das Sie sich entscheiden, ist zum Teil eine unterschiedliche Anzahl an telefonischen Beratungsstunden mit Ihrem Datenschutzbeauftragten im Paketpreis enthalten (z.B. 5 Beratungsstunden in der Medium-Version); zudem sind optional (weitere) Beratungsstunden buchbar.

Der Stundensatz beträgt 160 Euro für jede zusätzliche Beratungsstunde (Abrechnung per 15 Minuten). Alternativ zum Einzelstunden-Tarif bietet datenschutzexperte.de unterschiedliche Stundenpakete, die unabhängig vom ausgewählten Datenschutzbeauftragten-Leistungspaket gebucht werden können:

  • 5 Beratungsstunden: 700 Euro (140 Euro pro Stunde statt 160 Euro pro Stunde)
  • 10 Beratungsstunden: 1300 Euro (130 Euro pro Stunde statt 160 Euro pro Stunde)


Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:


FAQ: Wir beantworten Ihre Fragen zu Datenschutz Folgenabschätzungen

Bei einer Datenschutz-Folgenabschätzung nach DSGVO handelt es sich um eine erweiterte Risikoeinschätzung. Eine solche muss vor bestimmten Verarbeitungen personenbezogener Daten durchgeführt werden und wird von der DSGVO für alle Datenverarbeitungen vorgesehen. Die Datenschutz-Folgenabschätzung unterscheidet sich aber von einer Risikoanalyse, da sie deutlich komplexer und umfangreicher ist und nur bei kritischen Verarbeitungsprozessen für die Abschätzung von Folgen bei der Datenverarbeitung notwendig wird – zum Beispiel dann, wenn nach einer bereits erfolgten Risikobewertung ein hohes oder sehr hohes Risiko für die Rechte und Freiheiten der Betroffenen verbleibt.

Eine Datenschutz Folgenabschätzung wird nur unter bestimmten Voraussetzungen notwendig. An erster Stelle steht dabei der Schutz personenbezogener Daten sowie die Rechte und Freiheiten von Menschen. Sobald eine geplante Daten-Verarbeitung aufgrund ihrer Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss laut DSGVO eine DSFA durgeführt werden. Allerdings existiert keine gültige Definition darüber, wann dies genau der Fall ist. Beispiele, bei der eine DSFA notwendig werden, sind aber Profiling oder der Verarbeitung von systematischer umfangreicher Videoüberwachung.

Unternehmen, die eine automatisierte Datenverarbeitung planen, die besondere Risiken für Recht und Freiheiten der Betroffenen darstellen könnte, sollten prüfen, ob sie zu einer DSFA verpflichtet sind. Dabei dient eine DSFA aber nicht nur dem Schutz der Betroffenen, sondern das Unternehmen selbst kann sich damit auch absichern. Sollte es zu einer Prüfung durch die Aufsichtsbehörden kommen, kann die DSFA als Nachweis der Erfüllung der datenschutzrechtlichen Pflichten erbracht werden.

 

Aktuelle Beiträge zum Thema "Datenschutz Folgeabschätzung"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr