Datenschutz-Folgenabschätzung (DS-FA) von DS-GVO-Experten durchführen lassen

Datenschutz-Folgenabschätzung –Datenschutzrechtliches Risikomanagement für Softwareunternehmen, soziale Einrichtungen und Organisationen, die Wert auf Datenschutz legen

Die Datenschutz-Grundverordnung (DS-GVO) verfolgt stets einen risikobasierten Ansatz, wenn eine Organisation personenbezogene Daten verarbeitet. Wesentlich dabei für das datenschutzrechtliche Risikomanagement ist die Datenschutz-Folgenabschätzung (kurz „DSFA“). Die Idee der DSFA ist, Risiken zu erkennen und zu bewerten, welche durch eine vorgesehene Verarbeitung, insbesondere beim Einsatz neuer Technologien für Betroffene (z.B. Kunde, Klient, Beschäftigte) entsteht. Da man bei einer DSFA sowohl komplexe technische als auch rechtliche Aspekte prüft, empfiehlt es sich bei einer DSFA nach der DS-GVO als Softwareunternehmensoziale Einrichtung oder sonstige datenschutzaffine Organisation mit erfahrenen  Datenschutzbeauftragten zusammen zu arbeiten, die dabei helfen, Verarbeitungstätigkeiten auf ein erhöhtes Risiko hin zu überprüfen und das Risiko entsprechend zu behandeln.

Wann ist eine Datenschutz-Folgenabschätzung notwendig?

Die DSFA ist immer dann durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die Rechtsgrundlage für:

  • nicht-öffentliche Stellen ist Art. 35 DS-GVO,
  • evangelische kirchliche Stellen § 34 im Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD).
  • Katholische kirchliche Stellen ist § 35 des Gesetz über den Kirchlichen Datenschutz (KDG).

Wozu dient eine Schwellenwertanalyse im Kontext der Datenschutz-Folgenabschätzung?

Zunächst ist die Schwellenwertanalyse durchzuführen, um zu überprüfen, ob für eine geplante Verarbeitung eine Datenschutz-Folgenabschätzung gemäß DS-GVO durchgeführt werden muss. Hierfür sind folgende Prüfschritte zu gehen:

  1. Zunächst ist zu prüfen, ob sich die vorgesehene Verarbeitung auf der DSFA Blacklist der Aufsichtsbehörden befindet. Für die dort aufgezählten Verarbeitungstätigkeiten ist eine DSFA zwingend durchzuführen (z.B. Car Sharing / Mobilitätsdaten, die umfangreiche Positions- und Abrechnungsdaten verarbeiten, Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o.ä., Betrieb von Bewertungsportalen).
  2. Die Aufsichtsbehörde kann ebenso eine DSFA Whitelist für Verarbeitungsvorgänge erstellen, für die wiederum keine DSFA nach DS-GVO erforderlich ist (eine solche Liste steht per dato leider (noch) nicht zur Verfügung).
  3. Überprüfung einer möglichen Zuordnung der vorgesehenen Verarbeitung zu folgenden Fallgruppen:
    • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet;
    • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, oder
    • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
  4. Treffen die vorherigen Punkte nicht zu, ist unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung eine Risikoabwägung durchzuführen, um zu ermitteln, ob die geplante Verarbeitung voraussichtlich hohe Risiken für Betroffene birgt.

Was muss eine Datenschutz-Folgenabschätzung beinhalten?

Sofern es nach der Schwellenwertanalyse notwendig ist, eine DSFA durchzuführen, hat diese zumindest Folgendes zu enthalten:

  • Sie muss die geplanten Verarbeitungsvorgänge und die Zwecke der Verarbeitung, gegebenenfalls einschließlich der vom Verantwortlichen verfolgten berechtigten Interessen, systematisch beschreiben;
  • Sie muss bewerten, ob diese notwendig und verhältnismäßig in Bezug auf den Zweck sind;
  • Sie muss die Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß der Schwellenwertanalyse berücksichtigen und
  • mit welchen geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren die Organisation personenbezogene Daten schützt und die Risiken reduziert und wie diese nachweist, dass sie die DS-GVO einhält.

Wer ist für die Durchführung einer Datenschutz-Folgenabschätzung zuständig?

Für die Durchführung der DSFA ist der Verantwortliche zuständig. Die Geschäftsleitung entscheidet, welche Personen sie an einer DSFA beteiligt. Üblicherweise nimmt IT-Personal, sofern vorhanden IT-Sicherheitsbeauftragte oder Ansprechpartner des Risikomanagements sowie Personen des betroffenen Fachbereichs daran teil. Der Gesetzgeber sieht in der DS-GVO vor, dass die verantwortliche Stelle den Rat des Datenschutzbeauftragten, sofern benannt, einholt. Datenschutzbeauftragte unterstützen bei DSFAs, sie sind jedoch nicht dafür verantwortlich, auch wenn Organisationen dies häufig so handhaben.

FAQ externer Datenschutzbeauftragter

FAQ rund um das Thema Datenschutz-Folgenabschätzung

Was bedeutet DSFA?

DSFA ist die Kurzform für Datenschutz-Folgenabschätzung.

Gibt es eine DSFA Blacklist?

Ja, die Aufsichtsbehörden haben eine DSFA Blacklist veröffentlicht. Für die dort aufgeführten Verarbeitungen ist eine Datenschutz-Folgenabschätzung nach DS-GVO durchzuführen. Die DSFA Blacklist lässt sich hier einsehen.

Für spezielle Sachverhalte halten die Aufsichtsbehörden unabhängig von ihrer DSFA Blacklist eine Datenschutz-Folgenabschätzung für erforderlich. So äußerte sich zum Beispiel der Beauftragte für den Datenschutz der EKD in seinem Statement vom 03. April 2020 zu Videoüberwachung in evangelischen kirchlichen Stellen. Er hält demnach die DSFA bei Einführung eines Videokonferenzsystems immer für notwendig.

Gibt es eine DSFA Whitelist?

Nein, eine DSFA Whitelist, in welcher die Aufsichtsbehörden Verarbeitungen benennen können, für die keine DSFA durchzuführen ist, gibt es per dato (noch) nicht.

Muss eine Datenschutz-Folgenabschätzung für Microsoft 365 durchgeführt werden?

Ob eine Datenschutz-Folgenabschätzung für Microsoft 365 durchzuführen ist, lässt sich nicht pauschal beantworten. Dies hängt stark vom Ausmaß der geplanten Nutzung ab. In vielen Fällen wird es aber zumindest sinnvoll sein, eine DSFA für Microsoft 365 durchzuführen.

Wie lange dauert es, eine Datenschutz-Folgenabschätzung durchzuführen?

Das hängt davon ab, was die Organisation plant. Sofern sie komplexe risikobehaftete Verarbeitungen plant, erfordert dies deutlich mehr Zeit, als wenn nur ein einfacher Sachverhalt zu bewerten ist. So lässt sich die Videoüberwachung eines kleinen Bereichs des Firmengeländes innerhalb von wenigen Stunden prüfen, während eine Videoüberwachung mit einer zweistelligen Anzahl von Kameras sowie unterschiedlichen Zwecken ein Projekt für mehrere Wochen sein kann.

Was kostet eine Datenschutz-Folgenabschätzung?

Die Kosten für eine Datenschutz-Folgenabschätzung hängen vom geplanten Vorhaben ab. Der Aufwand kann sich je nach Komplexität des Vorhabens auf mehrere Beratertage erstrecken. Sprechen Sie uns an und wir klären mit Ihnen den Auftrag und ermitteln die voraussichtlichen Kosten!

Unser Unterstützungsangebot

Die Durchführung einer DSFA nach DS-GVO ist nicht trivial und bedarf häufig der Expertise eines erfahrenen Beraters. Selbst für interne Datenschutzbeauftragte, deren Rat bei der Durchführung einer Datenschutz-Folgenabschätzung nach DS-GVO einzuholen ist, kann dies eine Herausforderung sein. Wir unterstützen Sie dabei, datenschutz-folgenabschätzungspflichtige Verarbeitungen zu erkennen und diese beratend oder aktiv mit Ihnen durchzuführen. Gerne übernehmen wir auch die Dokumentation der Datenschutz-Folgenabschätzung, damit Sie Ihre Rechenschaftspflicht erfüllen.

Kontaktieren Sie das Team der ENSECUR, um ein für Ihre Organisation zugeschnittenes Angebot für die Durchführung einer Datenschutz-Folgenabschätzung zu erhalten.

Kontaktieren Sie uns

    Hilfreiche Links: