Datenschutz-Folgenabschätzung

Folgenabschätzung nach Risikobewertung

Datenschutz-Folgenabschätzung für Verarbeitungsvorgänge mit personenbezogenen Daten

Wenn innerhalb des Systems personenbezogene Daten verarbeitet werden, so ist gemäß Artikel 35 DSGVO vorab eine Analyse der Risiken für die Rechte und Freiheiten natürlicher Personen durchzuführen. Sofern das Ergebnis dieser Risikobewertung ist, dass voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, so muss vor der Inbetriebnahme des Systems vorab eine Datenschutz-Folgenabschätzung durchgeführt werden.

Datenschutz-Folgenabschätzung (DSFA)

Ziel 1:

Compliance – Erfüllung der strengen Gesetzesanforderung

Ziel 2:

Risiko-Management – Risiken erkennen und mindern

Ziel 3:

Transparenz – Darstellung der rechtskonformen Verarbeitung personenbezogener Daten

Ablauf

Ablauf einer Datenschutz-Folgenabstimmung

In einem ersten Schritt muss festgestellt werden, ob eine Datenschutz-Folgenabschätzung für die Verarbeitungsvorgänge bzw. die dahinterstehende Software notwendig ist. Diese Prüfung gilt es zu dokumentieren. Diese Risikobewertung führen wir mit einem etablierten Verfahren durch; bei der Berücksichtigung des Verfahrensverzeichnisses funktioniert dies besonders effektiv.

Stufe 1: Erfassung des Verarbeitungsprozesses

Zu Beginn müssen alle für den Verarbeitungsprozess und für die Datenschutz-Folgenabschätzung relevanten Informationen gesammelt, beschrieben und dokumentiert werden. Um dies durchzuführen, bedarf es einer tieferen Untersuchung der Datenflüsse. Diese Tätigkeit bildet die Grundlage für die nachgelagerten Stufen der Datenschutz-Folgenabschätzung. Neben den vorherigen Aspekten gilt es auch die zugrunde liegende Rechtsgrundlage zu bestimmen.

Stufe 2: Bewertung der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung

In der zweiten Stufe der Datenschutz-Folgenabschätzung wird der Forderung des Artikels 35 DSGVO nachgekommen, indem die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung von persönlichen Daten in Bezug auf den zugrunde liegenden Zweck bewertet und dokumentiert wird.

Stufe 3: Risikoeinschätzung

In der dritten Stufe wird eine Risikoeinschätzung vorgenommen. Hierbei werden zunächst auf Grundlage der Schutzziele des Standard-Datenschutzmodells, der in Erwägungsgrund 75 DSGVO festgehaltenen Schadensszenarien sowie aus in der Praxis bewährten Kriterien Risiko-Szenarien entwickelt. Im Anschluss werden die im Rahmen der Verarbeitungstätigkeit bereits umgesetzten Maßnahmen erfasst. Abschließend findet eine Abwägung der umgesetzten Maßnahmen gegenüber den Risiko-Szenarien statt.

Stufe 4: Identifizierung und Ableitung von Abhilfemaßnahmen

Auf Basis von Stufe drei werden nun weitere geeignete Abhilfemaßnahmen identifiziert. Nach der Identifizierung der zur Reduzierung der Risiken beitragenden Abhilfemaßnahmen werden diese an das Unternehmen weitergegeben. Bei der Entwicklung möglicher Abhilfemaßnahmen orientieren wir uns zum einen an gängigen Maßnahmenkatalogen und Normen (bspw. SDM-Bausteines des ULD, ISO 27001) und zum anderen an praktikablen und angemessen Maßnahmen aus unserer Datenschutzpraxis.

Stufe 5: Fazit der Datenschutz-Folgenabschätzung

Abschließend wird eine Empfehlung verfasst und ein Fazit-Vorschlag zur weiteren Diskussion mit den Verantwortlichen erstellt. Sofern gewünscht, wird ein Abschlussgespräch geführt, indem die Inhalte der Datenschutz-Folgenabschätzung, die Empfehlung und das Fazit erörtert und diskutiert werden können.

Nutzen Sie unsere Datenschutz-Folgenberatung zur Wahrung der Datenschutzkonformität!

Vorteile

Effiziente Umsetzung gesetzlicher Anforderungen

Schon vor dem Inkrafttreten der DSGVO hat die UIMC ein effizientes Verfahren zur Durchführung einer Datenschutz-Folgenabschätzung entwickelt (damals noch „Vorabkontrolle“). Durch Erfahrungen und unserer Methoden-Expertise erfüllen Sie nicht nur die gesetzliche Verpflichtung eine Datenschutz-Folgenabschätzung durchzuführen, sondern generieren auch einen Mehrwert.

Nutzung von Mustern

Für besonders verbreitete Verfahren haben wir bereits eine Datenschutz-Folgenabschätzung durchgeführt. Also warum sollte man das Rad neu erfinden? Besser ist doch die Nutzung der Erfahrungen und Ergebnisse vorliegender Analysen, die dann „nur“ noch angepasst werden müssen.

Schnelle Umsetzung

Bei der Einführung neuer Systeme wird erfahrungsgemäß oftmals sehr spät an den Datenschutz gedacht. Daher ist es am Ende eines Projekts besonders wichtig, dass eine Datenschutz-Folgenabschätzung schnell und aufwandsminierend durchgeführt wird.

Vertrauensaufbau

Insbesondere bei Systemen, die Sie intern für die Daten Ihrer Belegschaft oder transparent gegenüber Ihren Kunden nutzen, können Sie mit einer durchgeführten Datenschutz-Folgenabschätzung nachweisen, dass Sie den Schutz personenbezogener Daten ernst nehmen.

News

Aktuelles & Interessantes zur Informationssicherheit

Nachhaltige Zusammenarbeit

7. Juli 2025

UIMC und GEPA: Eine 18-jährige Partnerschaft für Fairen Handel und fairen Datenschutz In einer Zeit, in der Nachhaltigkeit und sozial verantwortliches Handeln zunehmend an Bedeutung

Gefahren der Künstlichen Intelligenz

27. Juni 2025

KI birgt Gefahren für Unternehmen unabhängig davon, ob sie genutzt wird Künstliche Intelligenz (KI) hat das Potenzial, Unternehmen in vielerlei Hinsicht zu unterstützen und zu

Datenschutz- und Wettbewerbsrecht

23. Juni 2025

Datenschutz im Wettbewerb: BGH stärkt Klagerechte von Mitbewerbern und Verbraucherschutzverbänden Das jüngste Urteil des Bundesgerichtshofs (BGH) hat für viel Aufregung gesorgt – insbesondere in Bezug

Immer gut informiert

Newsletter

Bleiben Sie mit unserem Info-Brief auf dem Laufenden.

Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.

Sie haben Fragen?

Sie benötigen Beratung zum Datenschutz, eine Schulung des Datenschutzbeauftragten der Firma oder einen externen Datenschutzbeauftragten?

Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.