ISO 21964
5. Januar 2026
DIN 66399 heißt jetzt ISO 21964 – Sonst ändert sich nichts? Was hinter den Normen zur Datenträgervernichtung steckt Wenn es um Datenträgervernichtung, Aktenvernichtung oder sichere
Datenschutz-Folgenabschätzung
Folgenabschätzung nach Risikobewertung
Datenschutz-Folgenabschätzung für Verarbeitungsvorgänge mit personenbezogenen Daten
Wenn innerhalb des Systems personenbezogene Daten verarbeitet werden, so ist gemäß Artikel 35 DSGVO vorab eine Analyse der Risiken für die Rechte und Freiheiten natürlicher Personen durchzuführen. Sofern das Ergebnis dieser Risikobewertung ist, dass voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, so muss vor der Inbetriebnahme des Systems vorab eine Datenschutz-Folgenabschätzung durchgeführt werden.
Datenschutz-Folgenabschätzung (DSFA)
Ziel 1:
Compliance – Erfüllung der strengen Gesetzesanforderung
Ziel 2:
Risiko-Management – Risiken erkennen und mindern
Ziel 3:
Transparenz – Darstellung der rechtskonformen Verarbeitung personenbezogener Daten
Ablauf
Ablauf einer Datenschutz-Folgenabstimmung
In einem ersten Schritt muss festgestellt werden, ob eine Datenschutz-Folgenabschätzung für die Verarbeitungsvorgänge bzw. die dahinterstehende Software notwendig ist. Diese Prüfung gilt es zu dokumentieren. Diese Risikobewertung führen wir mit einem etablierten Verfahren durch; bei der Berücksichtigung des Verfahrensverzeichnisses funktioniert dies besonders effektiv.
Stufe 1: Erfassung des Verarbeitungsprozesses
Zu Beginn müssen alle für den Verarbeitungsprozess und für die Datenschutz-Folgenabschätzung relevanten Informationen gesammelt, beschrieben und dokumentiert werden. Um dies durchzuführen, bedarf es einer tieferen Untersuchung der Datenflüsse. Diese Tätigkeit bildet die Grundlage für die nachgelagerten Stufen der Datenschutz-Folgenabschätzung. Neben den vorherigen Aspekten gilt es auch die zugrunde liegende Rechtsgrundlage zu bestimmen.
3
3
Stufe 2: Bewertung der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung
In der zweiten Stufe der Datenschutz-Folgenabschätzung wird der Forderung des Artikels 35 DSGVO nachgekommen, indem die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung von persönlichen Daten in Bezug auf den zugrunde liegenden Zweck bewertet und dokumentiert wird.
3
Stufe 3: Risikoeinschätzung
In der dritten Stufe wird eine Risikoeinschätzung vorgenommen. Hierbei werden zunächst auf Grundlage der Schutzziele des Standard-Datenschutzmodells, der in Erwägungsgrund 75 DSGVO festgehaltenen Schadensszenarien sowie aus in der Praxis bewährten Kriterien Risiko-Szenarien entwickelt. Im Anschluss werden die im Rahmen der Verarbeitungstätigkeit bereits umgesetzten Maßnahmen erfasst. Abschließend findet eine Abwägung der umgesetzten Maßnahmen gegenüber den Risiko-Szenarien statt.
4
Stufe 4: Identifizierung und Ableitung von Abhilfemaßnahmen
Auf Basis von Stufe drei werden nun weitere geeignete Abhilfemaßnahmen identifiziert. Nach der Identifizierung der zur Reduzierung der Risiken beitragenden Abhilfemaßnahmen werden diese an das Unternehmen weitergegeben. Bei der Entwicklung möglicher Abhilfemaßnahmen orientieren wir uns zum einen an gängigen Maßnahmenkatalogen und Normen (bspw. SDM-Bausteines des ULD, ISO 27001) und zum anderen an praktikablen und angemessen Maßnahmen aus unserer Datenschutzpraxis.
5
Stufe 5: Fazit der Datenschutz-Folgenabschätzung
Abschließend wird eine Empfehlung verfasst und ein Fazit-Vorschlag zur weiteren Diskussion mit den Verantwortlichen erstellt. Sofern gewünscht, wird ein Abschlussgespräch geführt, indem die Inhalte der Datenschutz-Folgenabschätzung, die Empfehlung und das Fazit erörtert und diskutiert werden können.
Nutzen Sie unsere Datenschutz-Folgenberatung zur Wahrung der Datenschutzkonformität!
Vorteile
Effiziente Umsetzung gesetzlicher Anforderungen
Schon vor dem Inkrafttreten der DSGVO hat die UIMC ein effizientes Verfahren zur Durchführung einer Datenschutz-Folgenabschätzung entwickelt (damals noch „Vorabkontrolle“). Durch Erfahrungen und unserer Methoden-Expertise erfüllen Sie nicht nur die gesetzliche Verpflichtung eine Datenschutz-Folgenabschätzung durchzuführen, sondern generieren auch einen Mehrwert.
Nutzung von Mustern
Für besonders verbreitete Verfahren haben wir bereits eine Datenschutz-Folgenabschätzung durchgeführt. Also warum sollte man das Rad neu erfinden? Besser ist doch die Nutzung der Erfahrungen und Ergebnisse vorliegender Analysen, die dann „nur“ noch angepasst werden müssen.
Schnelle Umsetzung
Bei der Einführung neuer Systeme wird erfahrungsgemäß oftmals sehr spät an den Datenschutz gedacht. Daher ist es am Ende eines Projekts besonders wichtig, dass eine Datenschutz-Folgenabschätzung schnell und aufwandsminierend durchgeführt wird.
Vertrauensaufbau
Insbesondere bei Systemen, die Sie intern für die Daten Ihrer Belegschaft oder transparent gegenüber Ihren Kunden nutzen, können Sie mit einer durchgeführten Datenschutz-Folgenabschätzung nachweisen, dass Sie den Schutz personenbezogener Daten ernst nehmen.
News
Aktuelles & Interessantes zur Informationssicherheit
Weiterlesen »
Jahresrückblick 2025
19. Dezember 2025
Jahresrückblick 2025: Datenschutz, Informationssicherheit und Compliance im Wandel 2025 war ein Jahr, in dem Datenschutz, Informationssicherheit und Compliance nicht nur Schlagworte waren. Neue Gesetze wie
Schwerpunktprüfung 2026
17. Dezember 2025
Schwerpunktprüfung 2026: Transparenzpflichten Transparenz ist das Herzstück wirksamen Datenschutzes: Nur wenn Betroffene klar, verständlich und vollständig über die Verarbeitung ihrer personenbezogenen Daten informiert werden, können
Immer gut informiert
Newsletter
Bleiben Sie mit unserem Info-Brief auf dem Laufenden.
Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.
Sie haben Fragen?
Sie benötigen Beratung zum Datenschutz, eine Schulung des Datenschutzbeauftragten der Firma oder einen externen Datenschutzbeauftragten?
Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.