Datenschutz-Folgenabschätzungen durchführen

Eine Datenschutz-Folgenabschätzung (DSFA) bewertet die Risiken der Datenverarbeitung für Betroffene auf deren Freiheitsrechte in einer Verarbeitungstätigkeit. 

Hintergrund

Eine Datenschutz-Folgenabschätzung (DSFA) bewertet die Risiken der Datenverarbeitung für Betroffen auf deren Freiheitsrechte in einer Verarbeitungstätigkeit. 

Gemäß Art. 35 DSGVO ist eine DSFA immer dann erforderlich, wenn gilt:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

Gefahren für die Freiheitsrechte der Betroffenen liegen immer dann vor, wenn nach Bekanntwerden der verarbeiteten, personenbezogenen Daten ernsthafte Konsequenzen für die Führung eines unbelasteten Lebens zu befürchten sind. Mögliche Beispiel sind:

• Profiling oder Prognose der wirtschaftlichen Lage
• Profiling oder Prognose von Vorlieben oder Interessen
• Bekanntwerden von Krankenakten und Diagnosedaten

Diese sind in der Robin Data ComplianceOS® hinterlegt.

Gemäß Art. 35 Abs. 7 enthält die DSFA mindestens folgende Aspekte, die in der Robin Data ComplianceOS® abgebildet sind: 

1. "eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen 
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird."

Ziel der DSFA ist es, die Risiken der Datenverarbeitung systematisch zu erfassen, zu bewerten und Maßnahmen zur Vermeidung, Verlagerung oder Abmilderung des Risikos zu definieren. 

Jedes Risiko muss angemessen reduziert oder verlagert sein. Ist dieses nicht der Fall, darf das Verfahren nicht verwendet werden.

Vorgehen

Eine Datenschutz-Folgenabschätzung ist ein sehr komplexer Vorgang. Es müssen für eine spezifische Bearbeitungstätigkeit alle der obigen Risiken identifiziert und bewertet werden.

Sie können je Verarbeitungstätigkeit mehrere DSFA erstellen und so mehrere Risiken dieses Verfahrens getrennt behandeln. In vielen Fällen kann sich anbieten, nur eine DSFA je Verfahren zu erstellen. 

Eine Anleitung der Datenschutzkonferenz finden Sie hier. Wir empfehlen, die DSFA gemeinsam mit einem Datenschutzexperten umzusetzen. 

 

Datenschutz-Folgenabschätzungen durchführen

1. Klicken Sie im Hauptmenü auf Datenschutz: Es öffnet sich ein Dropdown-Menü.
2. Klicken Sie im Dropdown-Menü auf Datenschutz-Folgenabschätzungen: Es öffnet sich die Tabellenansicht.

Die allgemein Funktionalität der Tabellensicht sowie die Exportfunktion wird in dem Artikel Tabellensicht verwenden beschrieben.

In der Tabellenansicht sehen Sie die Übersicht der aktuell bereits angelegten DSFAs.

Datenschutz-Folgenabschätzung erstellen

1. Klicken Sie im Hauptmenü auf Datenschutz: Es öffnet sich ein Dropdown-Menü.
2. Klicken Sie im Dropdown-Menü auf Datenschutz-Folgenabschätzungen: Es öffnet sich die Tabellenansicht.
3. Klicken Sie oben rechts auf den Button +Datenschutz-Folgenabschätzung: Es öffnet sich ein Zwischenfenster, indem die Bezeichnung erfasst wird.
   
4. Geben Sie die Bezeichnung der Datenschutz-Folgenabschätzung ein.
5. Klicken Sie auf Bearbeiten, wenn Sie die Felder der Eingabemaske ausfüllen möchten: Es öffnet sich eine leere Eingabemaske.
6. Füllen Sie die Felder der geöffneten Eingabemaske aus.
7. Klicken Sie auf Speichern: Die Datenschutz-Folgenabschätzung wird in der Tabelle hinterlegt.

Datenbereiche der Eingabemaske

Der linke Formularbereich weist folgende Datenbereiche auf:

• Dokumenten-ID: Weisen Sie der Verarbeitungstätigkeit eine Dokumenten-ID zu, die Verwendung von Dokumenten-IDs dient der systemweit eindeutigen Kennzeichnung und Identifikation von Dokumenten (mehr Informationen auf der Hilfeseite "Dokumentierte Information").
• Risikobeschreibung:  In diesem Bereich definieren Sie das Risiko oder die Risiken für die Verarbeitungstätigkeit. 
• Risikobehandlung:  Hier bewerten Sie das Risiko und definieren konkrete Maßnahmen, wie dieses Risiko gemindert werden kann.

Datenbereich: Risikobeschreibung

Dieser Datenbereich weist folgende Formularfelder auf:

• Bezeichnung: Beschreiben Sie in einem kurzen Satz, welches Risiko Sie analysieren wollen.
• Betroffenes Verfahren: Wählen Sie das Verfahren aus, zu dem Sie diese Datenschutz-Folgenabschätzung durchführen.
• Zweck der Verarbeitung: Der Zweck entspricht dem dokumentierten Zweck des hier betrachteten Verfahrens. Diese kann nur direkt in dem selektierten Verfahren geändert werden.
• Berechtigtes Interesse: Das berechtigte Interesse entspricht dem dokumentierten berechtigten Interesse des hier betrachteten Verfahrens. Diese kann nur direkt in dem selektierten Verfahren geändert werden.
• Beschreibung des Risikos: Beschreiben Sie das Risiko in kurzen Stichpunkten oder Sätzen. 
• Verhältnismäßigkeit des Zwecks: Dokumentieren Sie die Verhältnismäßigkeit bzw. die Wahrscheinlichkeit mit der das Risiko eintritt 

Datenbereich: Risikobehandlung

Dieser Datenbereich weist folgende Formularfelder auf:

• Eintrittswahrscheinlichkeit: Schätzen Sie die Eintrittswahrscheinlichkeit des Risikos ein.
• Gefahr für die Freiheitsrechte Betroffener: Schätzen Sie die Gefahren für die Freiheitsrechte der Betroffenen bei Eintritt dieses Risikos ein.
• Bewertung des Risiko: Schätzen Sie die Gesamtwirkung des Risikos für die Betroffenen ein.
• Maßnahmen zur Risikominimierung: Definieren Sie Maßnahmen, wie Sie dieses Risiko vermeiden, übertragen oder abmildern wollen.
• Umsetzungsaufwand: Schätzen Sie den Aufwand der Maßnahmen ein. Maßnahmen sollten mit einem verhältnismäßigen Aufwand in Bezug auf Zweck, Risiko und Möglichkeiten des Verantwortlichen umsetzbar sein.
• Risikobewertung nach erfolgter Maßnahme: Schätzen Sie ein, ob das Risiko, auf Basis der implementierten Maßnahmen, angemessen reduziert werden konnte. Ist das Risiko nicht angemessen reduziert, darf das zugehörige Verfahren nicht betrieben werden.

Der rechte Formularbereich weist folgende Datenbereiche auf:

• Matcher Tab: Über den Matcher können Sie Dokumente (wie z.B. Tätigkeiten oder technische und organisatorische Maßnahmen) verknüpfen sowie verknüpfte Dokumente einsehen. Über den Matcher können weitere Dokumente erstellt werden, die mit dem geöffneten Datensatz verknüpft werden können. Eine nähere Erläuterung dazu finden Sie im Artikel Matcher verwenden.
• Status Tab: Erfassen Sie den Status und den Freigabezyklus der Datenschutz-Folgenabschätzung. 
• Governance Tab: Der Governance Tab ist in mehreren Dokumenten in der Robin Data Software gleichermaßen verfügbar. Es bietet die Möglichkeit, diverse grundlegende Parameter für das jeweilige Dokument festzuhalten. eine nähere Erläuterung dazu finden Sie im Artikel Governance Inhalte verwalten.
• Anlagen Tab: In diesem Tab können Sie über den Button Anlage hinzufügen zugehörige Dokumente hinterlegen. Eine nähere Erläuterung dazu finden Sie im Artikel Eingabemasken mit Formularen verwenden.

• Externe Links Tab: In diesem Tab können Sie über den Button Externen Link hinzufügen zugehörige Informationen verlinken. Eine nähere Erläuterung dazu finden Sie im Artikel Eingabemasken mit Formularen verwenden.

Erfahren Sie mehr über den Tabs des rechten Formularbereichs im Artikel Eingabemasken mit Formularen verwenden.

Datenbereich: Status

In diesem Datenbereich ist es möglich, den Status eines Dokumentes zu verwalten und das Freigabeverfahren des Dokumentes abzubilden.

• Eine DSFA wird in der Regel von einer Person, zum Beispiel dem Mitarbeiter einer Fachabteilung, erstellt.
• Neben dieser Person sollte eine weitere Person prüfen, ob das Verfahren gesetzeskonform ist. Dieses kann zum Beispiel der Datenschutzbeauftragte vornehmen. 
• Am Ende der Kette muss jemand die DSFA offiziell freigeben werden. Dieses kann zum Beispiel durch den Vorgesetzten erledigt werden.

Dieser Datenbereich weist folgende Formularfelder auf:

• Status: Geben Sie den aktuellen Bearbeitungsstatus der DSFA an.
• Durchgeführt  von: Geben Sie die Person an, die diese DSFA erstellt hat.
• Durchgeführt am: Geben Sie das Datum ein, an dem die Erstellung dieser DSFA abgeschlossen wurde.
• Geprüft von: Geben Sie die Person an, die diese DSFA geprüft hat.
• Geprüft am: Geben Sie das Datum ein, an dem die Prüfung dieser DSFA abgeschlossen wurde.
• Freigegeben von: Geben Sie die Person an, die diese DSFA freigegeben hat.
• Freigegeben am: Geben Sie das Datum ein, an dem diese DSFA zur Nutzung freigegeben wurde.
• Notizen: Machen Sie sich Notizen zu der Datenschutz-Folgenabschätzung.

Whitepaper: Datenschutz-Folgenabschätzung Schritt-für-Schritt datenschutzkonform umsetzen

Im Whitepaper zu Datenschutz-Folgenabschätzungen finden Sie:

• Erhalten Sie Informationen zur Definition der Datenschutz-Folgenabschätzung
• Verstehen Sie die gesetzlichen Anforderungen aus Artikel 35 DSGVO
• Lernen Sie die gesetzlichen Mindestanforderungen an eine DSFA kennen 
• Erfahren Sie wie Sie in nur 6 Schritten eine Datenschutz-Folgenabschätzung umsetzen
• Inklusive Der Muss-Listen der DSK und des BfDI

  ---

Whitepaper herunterladen

 

---