Praxiswissen Datenschutz Basics

8 Min

Was ist eine Datenschutz-Folgenabschätzung?

DataGuard
DataGuard

Es gibt Datenverarbeitungsvorgänge, die kein sonderlich hohes Risiko für die Betroffenen darstellen, deren Daten verarbeitet werden. Wenn Sie sich zum Beispiel für den Newsletter Ihres Sportvereins eintragen, können maximal Ihre E-Mail-Adresse, Ihr Name und die Tatsache, dass Sie sich für diesen Verein interessieren, an die Öffentlichkeit geraten.

Anders sieht es zum Beispiel aus, wenn strafrechtlich relevante Daten verarbeitet werden oder Sie im öffentlichen Bereich überwacht werden. Für Fälle wie diese gelten laut DSGVO besondere Schutzmaßnahmen. Die Datenschutz-Folgeabschätzung ist eine davon.

In der DSGVO heißt es:

Grundsätzlich ist die Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess zur Analyse der Risiken und der Bewertung der möglichen Folgen von spezifischen Verarbeitungsvorgängen personenbezogener Daten. In einigen Fällen ist sie zwingend erforderlich. Wir zeigen Ihnen, wann die Durchführung einer DSFA notwendig ist und was Sie dabei unbedingt beachten sollten.

Das Wichtigste in Kürze

  • Seit dem 25. Mai 2018 gilt die DSGVO im Datenschutz und bringt unter anderem eine Neuerung mit sich: die Datenschutz-Folgenabschätzung. Diese ist ein Mittel, um die Risiken für persönliche Rechte und Freiheiten von Personen, deren Daten verarbeitet werden, zu analysieren, zu bewerten und darauf basierend Maßnahmen zur Risikominimierung zu treffen.
  • Die Notwendigkeit und Verhältnismäßigkeit von Verarbeitungsvorgängen mit voraussichtlich hohem Risiko müssen durch die DSFA analysiert und die Risiken für die Betroffenen reduziert werden. Zuständig ist ein festgelegtes Team sowiein beratender Funktionder Datenschutzbeauftragte (DSB) der Firma.
  • Bestimmte Verarbeitungsvorgänge bedingen die Folgenabschätzung. Diese sind in Artikel 35 DSGVO, sowie bei der zuständigen Aufsichtsbehörde nachzulesen.

In diesem Beitrag

Die Datenschutz-Folgenabschätzung laut Artikel 35, DSGVO

Die Datenschutz-Folgenabschätzung laut der DS-GVO sieht vor, dass vor einer Datenverarbeitung die Risiken und mögliche Folgen der Datenverarbeitung überprüft, dokumentiert und minimiert werden. Sie wird Artikel 35 der Datenschutz-Grundverordnung geregelt und stellt eine Form der Risikoanalyse dar. Sie dient dazu, dass Gefahren, die sich durch die Erhebung und Verarbeitung von personenbezogenen Daten ergeben, vermieden werden und regt zur Entwicklung entsprechender Strategien an.

Das für die Datenschutz-Folgenabschätzung zuständige Team in einem Unternehmen entscheidet anhand von verschiedenen Kriterien in einer Voranalyse, wie hoch die voraussichtlichen Risiken bei der Datenverarbeitung ausfallen. Bei einem hohen oder sehr hohen Risiko wird die Datenschutz-Folgenabschätzung oder kurz DSFA vorgenommen. In bestimmten Fällen wird sie sogar durch die entsprechende Aufsichtsbehörde vorgeschrieben. Der Datenschutzbeauftragte spielt eine wichtige Rolle bei der Folgenabschätzung.

Ganz neu ist das Verfahren nicht

Wenn Sie sich schon länger mit dem Datenschutzrecht beschäftigen, wird Ihnen das Instrument der DSFA nicht gänzlich unbekannt sein. Es handelt sich um eine Art Vorabkontrolle im Vorfeld der Verarbeitung persönlicher Daten. Diese war auch vor der Datenschutz-Folgenabschätzung der DS-GVO laut Bundesdatenschutzgesetz (BDSG-alt) bereits erforderlich, wenn bestimmte Daten bearbeitet wurden. Im Rahmen der Kontrolle wurde unter anderem die Rechtmäßigkeit der Informationsverarbeitung ermittelt und dokumentiert. Dies erfolgt auch bei der Datenschutz-Folgenabschätzung nach der DS-GVO.

Nutzen der Datenschutz-Folgenabschätzung

Durch die DSFA werden Unternehmen dazu angeregt, bestimmte Strategien für den Schutz der persönlichen Daten zu entwickeln, die das Risiko für Freiheiten der Betroffenen minimieren. Dadurch werden die Gefahren gesenkt, die sich durch die Verarbeitung von Daten ergeben. Gleichzeitig kann die Datenschutz-Folgenabschätzung als Nachweis darüber dienen, dass gesetzliche Vorgaben im datenschutzrechtlichen Bereich im Unternehmen eingehalten werden. Somit profitieren auch Sie als Firma von dem Vorgang und stellen sicher, dass die DS-GVO stets im Blick behalten wird.

Wann ist die Datenschutz Folgenabschätzung nötig?

Allgemein wird eine Datenschutz-Folgenabschätzung laut DS-GVO immer notwendig, sobald ein voraussichtlich hohes oder sehr hohes Risiko für Betroffene der erhobenen und verarbeiteten Daten besteht. Dieses Risiko betrifft die Freiheiten und Rechte der Personen, deren Daten genutzt werden.

Zwingend erforderliche Gründe für die DSFA

Gemäß Artikel 35 Abs. 3 DS-GVO ist eine DSFA zwingend nötig, wenn die Datenerhebung automatisiert erfolgt und dadurch persönliche Aspekte von natürlichen Personen bewertet werden (z.B. im Rahmen von Profiling). Auch die Verarbeitung personenbezogener Daten aus dem strafrechtlichen Bereich (z.B. bisherige Verurteilungen von natürlichen Personen) sowie die systematische Überwachung von Menschen in öffentlichen Bereichen erfordern jeweils eine Datenschutz-Folgenabschätzung.

Blacklist und Whitelist durch die Aufsichtsbehörde

Neben diesen Vorgaben gibt es Datenschutz-Folgenabschätzung-Checklisten sogenannte Blacklists durch die zuständigen Datenschutz-Aufsichtsbehörden. Diese listen Datenerhebungsvorgänge, die zwingend eine DSFA erfordern. Umgekehrt besteht auch eine Whitelist, die aufzeigt, welche Vorgänge nicht von einer Datenschutz-Folgenabschätzung nach der DS-GVO betroffen sind. Dies hilft Ihnen vorab bei einer Einschätzung.

 

Zuständigkeiten für die DSFA

Das Unternehmen legt meist ein Team fest, welches für die Datenschutz-Folgenabschätzung zuständig ist. Wird ein Datenschutzbeauftragter beschäftigt, muss dieser mindestens beratend zur Seite stehen und die DSFA sowie die Etablierung anschließender Sicherheitsmaßnahmen überwachen.

Das Schwierige an der Risikobewertung: Es gibt keine verbindlichen Prüfungsschemata oder gar ein fest definiertes Datenschutz-Folgenabschätzungs-Muster. Jedoch gibt es mit der ISO 29134, dem Standard-Datenschutzmodell der deutschen Aufsichtsbehörden, dem PIA-Tool (englisch: Privacy Impact Assessment) der französischen Aufsichtsbehörde CNIL und vereinzelten Beispielen und Planspielen der Datenschutz-Aufsichtsbehörden ein großes Sammelsurium an Orientierungshilfen.

Daher muss das Team mit dem DSB weitestgehend selbst entscheiden, nach welchen Kriterien die Risikobewertung von Datenschutzverarbeitungsvorgängen erfolgt. Gegebenenfalls müssen die von der Verarbeitung betroffenen Personen für eine Stellungnahme hinzugezogen werden.

Inhalte der DSFA

Sie können sich für die Inhalte der Datenschutz-Folgenabschätzung an der Checkliste orientieren:

  • Beschreibung der Datenverarbeitung (Welche Daten werden erhoben?)
  • Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung (Warum müssen die Daten überhaupt erhoben und verwendet werden?)
  • Zweck der Verarbeitung (Wozu werden die Daten genutzt?)
  • Voraussichtliche Risiken für die Rechte und Freiheiten der betroffenen Personen (Was kann schlimmstenfalls durch die Datennutzung passieren?)
  • Abhilfemaßnahmen, die eine Bewältigung der Risiken sicherstellen (Welche technischen und organisatorischen Maßnahmen tragen dazu bei, dass z.B. Dritte keinen Zugriff auf die Informationen haben?)
  • Dokumentation der Durchführung der DSFA, um Rechenschaftspflicht nachzukommen
Guard_newsletter

Bleiben Sie in Sachen Datenschutz auf dem neusten Stand

Mit unserem kostenlosen Newsletter bleiben Sie immer auf dem aktuellsten Stand und erhalten mehr Informationen über aktuelle Entwicklungen im Datenschutz. Jetzt kostenlos anmelden.

 

Datenschutz-Folgenabschätzung: Vorlage für den Ablauf

  1. Vorbereitung: Zunächst sollten Sie für die Datenschutz-Folgenabschätzung ein Team zusammenstellen, die Zuständigkeiten klar verteilen und den DSB in den Prozess miteinbeziehen. Planen Sie, wann die jeweiligen Risikoprüfungen durchgeführt werden. Legen Sie außerdem fest, in welchem Format und Umfang die Beurteilung erfolgen wird.
  1. Risikoanalyse: Jeder geplanten Datenverarbeitung geht die Prüfung auf Verhältnismäßigkeit und Notwendigkeit bzw. die Bewertung der Risiken für Rechte und Freiheiten der Betroffenen voraus. Dazu gibt es unterschiedliche Herangehensweisen und Methodiken. Werden anhand der Bewertung hohe bis sehr hohe Risiken identifiziert, müssen mögliche Maßnahmen zur Risikominderung gefunden werden.
  1. Eigentliche Datenschutz-Folgenabschätzung: Nun wird der Datenschutz-Folgenabschätzungs-Bericht erstellt. Dieser listet die im vorherigen Kapitel erläuterten Inhalte.
  1. Abhilfemaßnahmen planen, umsetzen und überprüfen: Risikomindernde Maßnahmen werden nun entwickelt, etabliert und auf ihre Wirksamkeit geprüft.
  1. Gegebenenfalls ist bei einem hohen Risiko trotz getroffener Maßnahmen die zuständige Aufsichtsbehörde zu konsultieren.
  1. Dokumentation: Letztlich wird die Datenschutz-Folgenabschätzung dokumentiert. Ebenso verhält es sich mit der Wirksamkeit der Maßnahmen, die im Zuge der DSFA zur Risikominderung eingeführt wurden.

Fazit: Datenschutz-Folgenabschätzung als hilfreiches Werkzeug

Die DSFA ist ein hilfreiches Instrument zum Erkennen und Senkung von Risiken für die Rechte und Freiheiten von betroffenen Personen. Unternehmen können damit den Schutz der erhobenen und zu verarbeitenden Daten erhöhen und im besten Falle sicherstellen. Jedoch ist aufgrund eines Mangels an klaren Vorgaben der Datenschutz-Aufsichtsbehörden und der hohen Komplexität der Durchführung eine enge Zusammenarbeit mit Ihrem Datenschutzbeauftragten, zum Beispiel von DataGuard, zu empfehlen.

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Zurück zum Seitenanfang
Veröffentlicht am Aktualisiert am
Tags Praxiswissen Datenschutz Basics

Über den Autor

DataGuard DataGuard
DataGuard

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen
IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen
Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?
Informationssicherheit

10 Min

Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?

Jedes Dienstleistungsunternehmen ist einzigartig. Erfahren Sie, wie Sie Ihre Cybersicherheitsstrategie optimal an die spezifischen Bedrohungen Ihres Unternehmens anpassen können.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren