Die Datenschutz-Folgenabschätzung (DSFA) ist in Artikel 35 DSGVO geregelt und ist eine Risikoanalyse, welche zur Beschreibung und Bewertung von Risiken vor der Verarbeitung bestimmter Daten gilt. Dabei ist die Datenschutz-Folgenabschätzung ein komplexer Vorgang innerhalb des Datenschutzes, der nicht vor jeder Datenverarbeitungstätigkeit durchzuführen ist, sondern bei besonders kritischen Verarbeitungen, die entweder eine gewisse automatisierte Systematik anwenden oder personenbezogene Daten besonderer Kategorien (nach Artikel 9 und Artikel 10 der DSGVO) umfassen. Durch eine Einschätzung des Risikos bei der Verarbeitung, soll dieses reduziert werden.
Die Risikoanalyse bzw. Folgenabschätzung für Datenverarbeitungen gab es bereits im BDSG (alt). Das entsprechende Verfahren war in § 4d Abs. 5 und 6 geregelt und setzte eine Vorabkontrolle voraus, sobald automatisierte Verarbeitungsprozesse ein besonderes Risiken für Rechte und Freiheiten der Betroffenen mit sich brachten.
Wann ist eine Datenschutz-Folgenabschätzung notwendig?
In der Datenschutz-Grundverordnung in Artikel 35 ist eine allgemeine Beschreibung der drei Fälle zu finden, die in jedem Fall eine Datenschutz-Folgenabschätzung erfordern:
- systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 (bspw. Gesundheitsdaten) oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (bspw. Videoüberwachung);
Außerdem regelt die DSGVO weiterhin, dass die Datenschutz-Aufsichtsbehörden eine Liste mit Verarbeitungstätigkeiten veröffentlichen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen und für die demnach eine DSFA unbedingt notwendig ist. Innerhalb von Deutschland haben die jeweiligen Aufsichtsbehörden der Bundesländer sowohl Positiv- als auch Negativlisten veröffentlicht.
- Positivliste der Datenschutzkonferenz (DSK) DSFA für nicht-öffentliche Stellen
- Übersicht des BvD zu Positivlisten der Datenschutz-Aufsichtsbehörden der Bundesländer
- Negativliste des Bayerischen Landesbeauftragten für den Datenschutz
- Blacklist des Bremer Landesbeauftragten für den Datenschutz
Diese Positiv- bzw. Negativlisten sind als nicht abschließend zu betrachten und werden fortlaufend durch die die deutschen Datenschutz-Aufsichtsbehörden angepasst. Zur Orientierung lohnt sich der Blick auf die Website der zuständigen Datenschutz-Aufsichtsbehörden.
Zu welchem Zeitpunkt ist die DSFA durchzuführen?
Eine Datenschutz-Folgenabschätzung ist ein komplexer Vorgang der vor Beginn der Verarbeitung durchgeführt werden muss. Es müssen aber auch bereits bestehende Verarbeitungstätigkeiten danach überprüft werden, ob diese auch unter die Pflicht einer DSFA fallen. Die Datenschutzkonferenz (DSK) bewertet die Erstellung einer DSFA als relativ zeitaufwendig und empfiehlt die Umsetzung, unterstützt durch ein Datenschutz-Management-System. Insbesondere auch da die Erstellung der Datenschutz-Folgenabschätzung kein einmaliger Vorgang, sondern viel mehr ein kontinuierlicher Prozess aus Vorbereitung, Durchführung, Umsetzung und Überprüfung ist. Die Bewertung von Risiken pro Verarbeitungstätigkeit ist mit der Robin Data Software möglich.
Wie ist die DSFA mit dem Verzeichnis von Verarbeitungstätigkeiten verknüpft?
Das Verzeichnis der Verarbeitungstätigkeiten enthält alle Datenverarbeitungsprozesse Ihres Unternehmens. Desto besser die Dokumentation der Verarbeitungstätigkeiten, desto einfacher ist die nachfolgende Datenschutz-Folgenabschätzung. Demnach ist das Verzeichnis auch der Ausgangspunkt für die DSFA und es erfolgt in diesem direkt die Risikobewertung der jeweiligen Verarbeitungstätigkeit sowie die Einstufung, ob die jeweilige Verarbeitungstätigkeit ein Datenschutz-Folgenabschätzung benötigt.
Schritt 1
Erstellung Verzeichnis der Verarbeitungstätigkeiten für Ihre Unternehmen
Schritt 2
Bewertung der Risiken der Verarbeitungstätigkeiten anhand einer Checkliste
Schritt 3
Erstellung DSFA für Verarbeitungstätigkeiten mit hohem Risiko
Was sind die Inhalte einer Datenschutz-Folgenabschätzung?
Die Risikobeschreibung
laut Artikel 35 der DSGVO eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen, inklusive eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
Die Risikobehandlung
eine Bewertung der Gefahr für die Freiheitsrechte der betroffenen Personen durch Klassifizierung der Eintrittswahrscheinlichkeit und der Schadenshöhe sowie Abschließenden Bewertung des Risikos. Außerdem Maßnahmen zur Minimierung oder Bewältigung der Risiken.
Wer muss eine DSFA durchführen?
Laut Artikel 35 Abs. 1 DSGVO muss der Verantwortliche die Datenschutz-Folgenabschätzung durchführen. Da es sich bei der DSFA um einen komplexen Vorgang handelt kann, so in Artikel 35 Abs. 2 DSGVO beschrieben, der Datenschutzbeauftragte bei der Durchführung unterstützen. Dies gilt nur für den Fall, dass ein Datenschutzbeauftragter benannt wurde. (Lesen Sie hier mehr zur Bestellung eines Datenschutzbeauftragten)
Was kann passieren wenn Unternehmen keine DSFA durchführen?
Insofern ein Unternehmen keine Datenschutz-Folgenabschätzung durchführt, obwohl diese notwendig wäre, droht im mildesten Fall Abmahnungen im schlimmsten Fall Bußgelder durch die Datenschutz-Aufsichtsbehörden. So drohen nach Artikel 83 Abs. 4 DSGVO bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.
Umsetzung der Datenschutz-Folgenabschätzung mit der Robin Data Software
Sollten Sie sich für die Umsetzung der Datenschutz-Folgenabschätzung mit der Robin Data Software interessieren, können Sie die einzelnen Artikel im Hilfe-Center der Robin Data Software nachlesen oder die täglichen Online-Demos besuchen.
Robin Data ist die Datenschutz-Software. Mit Robin Data erledigen Datenschutz-Verantwortliche Ihre Datenschutz-Dokumentation digital und automatisiert