Hauptnavigation: Datenschutz

Datenschutz-Folgenabschätzungen durchführen

Eine Datenschutz-Folgenabschätzung (DSFA) bewertet die Risiken der Datenverarbeitung für Betroffene auf deren Freiheitsrechte in einer Verarbeitungstätigkeit. 

    Hintergrund

    Eine Datenschutz-Folgenabschätzung (DSFA) bewertet die Risiken der Datenverarbeitung für Betroffen auf deren Freiheitsrechte in einer Verarbeitungstätigkeit. 

    Gemäß Art. 35 DSGVO ist eine DSFA immer dann erforderlich, wenn gilt:

    Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

    Gefahren für die Freiheitsrechte der Betroffenen liegen immer dann vor, wenn nach Bekanntwerden der verarbeiteten, personenbezogenen Daten ernsthafte Konsequenzen für die Führung eines unbelasteten Lebens zu befürchten sind. Mögliche Beispiel sind:

    • Profiling oder Prognose der wirtschaftlichen Lage
    • Profiling oder Prognose von Vorlieben oder Interessen
    • Bekanntwerden von Krankenakten und Diagnosedaten

    Diese sind in der Robin Data Software hinterlegt.

    Gemäß Art. 35 Abs. 7 enthält die DSFA mindestens folgende Aspekte, die in der Robin Data Software abgebildet sind: 

    1. "eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
    2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
    3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen 
    4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird."

    Ziel der DSFA ist es, die Risiken der Datenverarbeitung systematisch zu erfassen, zu bewerten und Maßnahmen zur Vermeidung, Verlagerung oder Abmilderung des Risikos zu definieren. 

    Jedes Risiko muss angemessen reduziert oder verlagert sein. Ist dieses nicht der Fall, darf das Verfahren nicht verwendet werden.

    Möchten Sie mehr zum Thema Datenschutz-Folgenabschätzungen erfahren?

    Hier geht es zum Wiki-Artikel Datenschutz-Folgenabschätzung (DFSA): Risikobewertung nach Artikel 35 DSGVO

    Vorgehen

    Eine Datenschutz-Folgenabschätzung ist ein sehr komplexer Vorgang. Es müssen für eine spezifische Bearbeitungstätigkeit alle der obigen Risiken identifiziert und bewertet werden.

    Sie können je Verarbeitungstätigkeit mehrere DSFA erstellen und so mehrere Risiken dieses Verfahrens getrennt behandeln. In vielen Fällen kann sich anbieten, nur eine DSFA je Verfahren zu erstellen. 

    Eine Anleitung der Datenschutzkonferenz finden Sie hier. Wir empfehlen, die DSFA gemeinsam mit einem Datenschutzexperten umzusetzen. 

    Datenschutz-Folgenabschätzungen durchführen

    Die Verwaltung der durchgeführten DSFA erreichen Sie im Hauptmenü unter: 

    • Datenschutz > Datenschutz-Folgenabschätzung

    Zunächst öffnet sich die Tabellenansicht. Die allgemein Funktionalität der Tabellensicht wird in dem Artikel Tabellensicht verwenden beschrieben.

    Datenschutzu-Folgeabschätzung Tabelle

    Zum Vergrößern des Bildes bitte klicken

    In der Tabellenansicht sehen Sie die Übersicht der aktuell bereits angelegten DSFAs.

     

     

    Das Video ist aktuell nur in Deutsch verfügbar

     

     

    Datenschutz-Folgenabschätzung erstellen

    Um eine DSFA zu erstellen, gehen Sie zunächst in das folgende Menü:

    • Datenschutz > Datenschutz-Folgenabschätzung

    Und  klicken anschließend auf den Button oben rechts:

    • Risiko

    Durch den Klick auf den Button öffnet sich eine leere Eingabemaske mit dem Formular zur Erstellung der DSFA.

    Datenschutz-Folgeabschätzung erstellen

    Zum Vergrößern des Bildes bitte klicken

    Das Formular ist den linken Bereich "Datenschutz-Folgenabschätzung erstellen" und den rechten Bereich "Status" unterterteilt.  Der linke Bereich weist folgende Datenbereiche auf:

    • Risikobeschreibung:  In diesem Bereich definieren Sie das Risiko oder die Risiken für die Verarbeitungstätigkeit. 
    • Risikobehandlung:  Hier bewerten Sie das Risiko und definieren konkrete Maßnahmen, wie dieses Risiko gemindert werden kann.
    Der rechte Bereich weist folgende Datenbereiche auf:
    • Status & Freigabe: Erfassen Sie den Status und den Freigabezyklus der Datenschutz-Folgenabschätzung.
    • Notizen: Machen Sie sich Notizen zu der Datenschutz-Folgenabschätzung.

    Datenbereich: Risikobeschreibung

    Dieser Datenbereich weist folgende Formularfelder auf:

    • Bezeichnung: Beschreiben Sie in einem kurzen Satz, welches Risiko Sie analysieren wollen.
    • Betroffenes Verfahren: Wählen Sie das Verfahren aus, zu dem Sie diese Datenschutz-Folgenabschätzung durchführen.
    • Zweck der Verarbeitung: Der Zweck entspricht dem dokumentierten Zweck des hier betrachteten Verfahrens. Diese kann nur direkt in dem selektierten Verfahren geändert werden.
    • Berechtigtes Interesse: Das berechtigte Interesse entspricht dem dokumentierten berechtigten Interesse des hier betrachteten Verfahrens. Diese kann nur direkt in dem selektierten Verfahren geändert werden.
    • Beschreibung des Risikos: Beschreiben Sie das Risiko in kurzen Stichpunkten oder Sätzen. 
    • Verhältnismäßigkeit des Zwecks: Dokumentieren Sie die Verhältnismäßigkeit bzw. die Wahrscheinlichkeit mit der das Risiko eintritt 

    Datenbereich: Risikobehandlung

    Dieser Datenbereich weist folgende Formularfelder auf:

    • Eintrittswahrscheinlichkeit: Schätzen Sie die Eintrittswahrscheinlichkeit des Risikos ein.
    • Gefahr für die Freiheitsrechte Betroffener: Schätzen Sie die Gefahren für die Freiheitsrechte der Betroffenen bei Eintritt dieses Risikos ein.
    • Bewertung des Risiko: Schätzen Sie die Gesamtwirkung des Risikos für die Betroffenen ein.
    • Maßnahmen zur Risikominimierung: Definieren Sie Maßnahmen, wie Sie dieses Risiko vermeiden, übertragen oder abmildern wollen.
    • Umsetzungsaufwand: Schätzen Sie den Aufwand der Maßnahmen ein. Maßnahmen sollten mit einem verhältnismäßigen Aufwand in Bezug auf Zweck, Risiko und Möglichkeiten des Verantwortlichen umsetzbar sein.
    • Risikobewertung nach erfolgter Maßnahme: Schätzen Sie ein, ob das Risiko, auf Basis der implementierten Maßnahmen, angemessen reduziert werden konnte. Ist das Risiko nicht angemessen reduziert, darf das zugehörige Verfahren nicht betrieben werden.

    Datenbereich: Status & Freigabe

    In diesem Datenbereich ist es möglich, den Status eines Dokumentes zu verwalten und das Freigabeverfahren des Dokumentes abzubilden.

    • Eine DSFA wird in der Regel von einer Person, zum Beispiel dem Mitarbeiter einer Fachabteilung, erstellt.
    • Neben dieser Person sollte eine weitere Person prüfen, ob das Verfahren gesetzeskonform ist. Dieses kann zum Beispiel der Datenschutzbeauftragte vornehmen. 
    • Am Ende der Kette muss jemand die DSFA offiziell freigeben werden. Dieses kann zum Beispiel durch den Vorgesetzten erledigt werden.

    Dieser Datenbereich weist folgende Formularfelder auf:

    • Status: Geben Sie den aktuellen Bearbeitungsstatus der DSFA an.
    • Durchgeführt  von: Geben Sie die Person an, die diese DSFA erstellt hat.
    • Durchgeführt am: Geben Sie das Datum ein, an dem die Erstellung dieser DSFA abgeschlossen wurde.
    • Geprüft von: Geben Sie die Person an, die diese DSFA geprüft hat.
    • Geprüft am: Geben Sie das Datum ein, an dem die Prüfung dieser DSFA abgeschlossen wurde.
    • Freigegeben von: Geben Sie die Person an, die diese DSFA freigegeben hat.
    • Freigegeben am: Geben Sie das Datum ein, an dem diese DSFA zur Nutzung freigegeben wurde.

    Datenbereich: Notizen

    In diesem Feld Raum für Ihre Notizen zu dieser DSFA.

     

    Weitere Frage? - Wir sind für Sie da.

    Bei Fragen zur Software können Sie sich gern an unseren Support wenden. Sie erreichen uns unter support@robin-data.io.