Datenschutz-Folgenabschätzung

Folgenabschätzung nach Risikobewertung

Datenschutz-Folgenabschätzung für Verarbeitungsvorgänge mit personenbezogenen Daten
Wenn innerhalb des Systems personenbezogene Daten verarbeitet werden, so ist gemäß Artikel 35 DSGVO vorab eine Analyse der Risiken für die Rechte und Freiheiten natürlicher Personen durchzuführen. Sofern das Ergebnis dieser Risikobewertung ist, dass voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt, so muss vor der Inbetriebnahme des Systems vorab eine Datenschutz-Folgenabschätzung durchgeführt werden.

Datenschutz-Folgenabschätzung (DSFA)

Ziel 1:

Compliance – Erfüllung der strengen Gesetzesanforderung  

Ziel 2:
Risiko-Management – Risiken erkennen und mindern
Ziel 3:
Transparenz – Darstellung der rechtskonformen Verarbeitung personenbezogener Daten

Ablauf

Ablauf einer Datenschutz-Folgenabstimmung

In einem ersten Schritt muss festgestellt werden, ob eine Datenschutz-Folgenabschätzung für die Verarbeitungsvorgänge bzw. die dahinterstehende Software notwendig ist. Diese Prüfung gilt es zu dokumentieren. Diese Risikobewertung führen wir mit einem etablierten Verfahren durch; bei der Berücksichtigung des Verfahrensverzeichnisses funktioniert dies besonders effektiv.
Stufe 1:

Erfassung des Verarbeitungsprozesses

Zu Beginn müssen alle für den Verarbeitungsprozess und für die Datenschutz-Folgenabschätzung relevanten Informationen gesammelt, beschrieben und dokumentiert werden. Um dies durchzuführen, bedarf es einer tieferen Untersuchung der Datenflüsse. Diese Tätigkeit bildet die Grundlage für die nachgelagerten Stufen der Datenschutz-Folgenabschätzung. Neben den vorherigen Aspekten gilt es auch die zugrunde liegende Rechtsgrundlage zu bestimmen.
3

Stufe 2: Bewertung der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung

In der zweiten Stufe der Datenschutz-Folgenabschätzung wird der Forderung des Artikels 35 DSGVO nachgekommen, indem die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung von persönlichen Daten in Bezug auf den zugrunde liegenden Zweck bewertet und dokumentiert wird.
3

Stufe 3: Risikoeinschätzung

In der dritten Stufe wird eine Risikoeinschätzung vorgenommen. Hierbei werden zunächst auf Grundlage der Schutzziele des Standard-Datenschutzmodells, der in Erwägungsgrund 75 DSGVO festgehaltenen Schadensszenarien sowie aus in der Praxis bewährten Kriterien Risiko-Szenarien entwickelt. Im Anschluss werden die im Rahmen der Verarbeitungstätigkeit bereits umgesetzten Maßnahmen erfasst. Abschließend findet eine Abwägung der umgesetzten Maßnahmen gegenüber den Risiko-Szenarien statt.
4

Stufe 4: Identifizierung und Ableitung von Abhilfemaßnahmen

Auf Basis von Stufe drei werden nun weitere geeignete Abhilfemaßnahmen identifiziert. Nach der Identifizierung der zur Reduzierung der Risiken beitragenden Abhilfemaßnahmen werden diese an das Unternehmen weitergegeben. Bei der Entwicklung möglicher Abhilfemaßnahmen orientieren wir uns zum einen an gängigen Maßnahmenkatalogen und Normen (bspw. SDM-Bausteines des ULD, ISO 27001) und zum anderen an praktikablen und angemessen Maßnahmen aus unserer Datenschutzpraxis.
5

Stufe 5: Fazit der Datenschutz-Folgenabschätzung

Abschließend wird eine Empfehlung verfasst und ein Fazit-Vorschlag zur weiteren Diskussion mit den Verantwortlichen erstellt. Sofern gewünscht, wird ein Abschlussgespräch geführt, indem die Inhalte der Datenschutz-Folgenabschätzung, die Empfehlung und das Fazit erörtert und diskutiert werden können.
Nutzen Sie unsere Datenschutz-Folgenberatung zur Wahrung der Datenschutzkonformität!

Vorteile

Effiziente Umsetzung gesetzlicher Anforderungen

Schon vor dem Inkrafttreten der DSGVO hat die UIMC ein effizientes Verfahren zur Durchführung einer Datenschutz-Folgenabschätzung entwickelt (damals noch „Vorabkontrolle“). Durch Erfahrungen und unserer Methoden-Expertise erfüllen Sie nicht nur die gesetzliche Verpflichtung eine Datenschutz-Folgenabschätzung durchzuführen, sondern generieren auch einen Mehrwert.
Nutzung von Mustern
Für besonders verbreitete Verfahren haben wir bereits eine Datenschutz-Folgenabschätzung durchgeführt. Also warum sollte man das Rad neu erfinden? Besser ist doch die Nutzung der Erfahrungen und Ergebnisse vorliegender Analysen, die dann „nur“ noch angepasst werden müssen.
Schnelle Umsetzung
Bei der Einführung neuer Systeme wird erfahrungsgemäß oftmals sehr spät an den Datenschutz gedacht. Daher ist es am Ende eines Projekts besonders wichtig, dass eine Datenschutz-Folgenabschätzung schnell und aufwandsminierend durchgeführt wird.
Vertrauensaufbau
Insbesondere bei Systemen, die Sie intern für die Daten Ihrer Belegschaft oder transparent gegenüber Ihren Kunden nutzen, können Sie mit einer durchgeführten Datenschutz-Folgenabschätzung nachweisen, dass Sie den Schutz personenbezogener Daten ernst nehmen.

News

Aktuelles & Interessantes zur Informationssicherheit

Immer gut informiert

Newsletter

Bleiben Sie mit unserem Info-Brief auf dem Laufenden.

Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.

Sie haben Fragen?

Sie benötigen Beratung zum Datenschutz, eine Schulung des Daten­schutz­­beauftragten der Firma oder einen externen Daten­schutz­beauftragten?

Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.