MENU

Neue Datenschutz-Folgenabschätzung (DSFA)

  1. Bildung
  2. Wissen kompakt
  3. Datenschutz
  4. Datenschutz-Folgenabschätzung

Die neue Datenschutz-Folgenabschätzung – ein Frühwarnsystem für Datenmängel

Ein zentraler Bestandteil der neuen EU-weiten Datenschutz-Grundverordnung (DSGVO) ist die Datenschutz-Folgenabschätzung (DSFA). Sie ist ein elementarer Baustein des Risikomanagements eines Unternehmens oder einer öffentlichen Stelle. Dabei dient sie gerade in Zeiten der zunehmenden Digitalisierung aller Wirtschafts- und Lebensbereiche auch als eine Art Datenschutz-Vorabkontrolle für Mängel im Datenschutz. Wie ernst es die Europäische Union mit der DSFA meint, beweisen die neuen Bußgelder, mit denen Verstöße belegt werden können: Sie können bis zu vier Prozent oder 20 Millionen Euro des weltweiten Umsatzes einer Firma ausmachen.

Die Rolle des Datenschutzbeauftragten bei der Datenschutz-Folgenabschätzung

Laut DSGVO ist der „Verantwortliche“ im Unternehmen für die Datenschutz-Folgenabschätzung zuständig – in erster Linie ist das der Geschäftsführer oder der Vorstand. Sie tragen die juristische Verantwortung für den korrekten Datenschutz. Außerdem heißt es zur Datenschutz-Folgenabschätzung in der DSGVO: „Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.“ Was relativ harmlos klingt, führt dazu, dass Datenschutzbeauftragte noch stärker in die Einführung oder Änderung von Datenverarbeitungs-Verfahren einbezogen werden. Was das konkret für Datenschutzbeauftragte bedeutet, erfahren Sie zum Beispiel in dieser Schulung.

Datenschutz-Folgenabschätzung: Beispiele aus der Praxis

Grundsätzlich will die EU mit der neuen DSGVO die Rechte von Personen an ihren privaten Daten stärken. Dabei muss der Datenschutzbeauftragte im Rahmen einer Datenschutz-Vorabkontrolle abschätzen, wie hoch das Risiko ist, dass die Daten in irgendeiner unrechtmäßigen Weise genutzt werden könnten. Der Gesetzgeber sieht das sehr streng. Da beinahe jedes Unternehmen und jede Behörde Daten erhebt, muss fast jeder eine Risikoabschätzung nach Art. 35 DSGVO vornehmen.

Ein Datenschutz-Folgenabschätzungs-Beispiel ist die Arztpraxis, wo ebenfalls persönliche Daten aufgenommen werden. Deshalb hält Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, auch hier eine Risikoabschätzung für die Datenverarbeitung für notwendig. Ziel sei immer die Implementierung geeigneter Maßnahmen, um solche Risiken einzudämmen. Bei übersichtlichen Verarbeitungssystemen kann eine DSFA durchaus „schlank gehalten werden“. Aufwendiger gestaltet sich eine Datenschutz-Folgenabschätzung, wenn es sich um ein Krankenhaus mit vielen Abteilungen handelt. Denn dann muss geprüft werden, unter welchen Umständen und mit welchen Sicherheitsvorkehrungen beispielsweise ein Arzt die Daten eines Patienten an die Röntgenstation oder an die Sozialstation weiterleiten darf.

DSFA und DSGVO: Der Aufgabenumfang von Datenschutzbeauftragten ändert sich

Grundsätzlich ist die Thematik ja nicht ganz neu. Auch bisher prüften Datenschutzbeauftragte im Rahmen der sogenannten Datenschutz-Vorabkontrolle nach dem Bundesdatenschutzgesetz (BDSG) das Risiko bei der Verarbeitung personenbezogener Daten. Was sich mit der neuen EU-Verordnung gegenüber der Vorabkontrolle (BDSG) ändert, ist der Umfang der Aufgaben. Bislang umfasste der Gesetzestext zur Risikoprüfung der Daten nur wenige Absätze. Die Datenschutz-Folgenabschätzung hingegen besteht aus mehreren Seiten mit sehr detaillierten Angaben und neuen Anforderungen, die umzusetzen sind. „Der Spirit ist aber der gleiche“, meint Hansen.

So sieht eine Datenschutz-Folgenabschätzung aus

Was aber ist in einer rechtmäßigen DSFA genau abgebildet? Zum Beispiel beschreibt sie, warum das Unternehmen ein berechtigtes Interesse an der Datenverarbeitung hat. Außerdem gibt sie an, welchen Zwecken sie dient und ob diese Zwecke notwendig und verhältnismäßig sind. Sie analysiert, wie groß die Risiken für die Rechte der betroffenen Personen sind. Überdies enthält die DSFA Garantien, Sicherheitsvorkehrungen und Verfahren zur Bewältigung der Risiken.

Wann eine DSFA notwendig ist

Eine sorgfältige Risikoprüfung ist neuerdings besonders dann notwendig, wenn neue Technologien eingesetzt werden. Dazu zählt beispielsweise, wenn eine Chipkarte für den Zugang zu bestimmten Sicherheitsbereichen im Unternehmen durch die RFID-Funktechnik ersetzt wird. Dabei stellt sich nämlich die Frage, ob mit der Veränderung höhere Risiken verbunden sind. Weitere Situationen, in denen eine Datenschutz-Folgenabschätzung vorgenommen werden muss:

  • Videoüberwachung von öffentlichen Räumen, zum Beispiel im Eingangsbereich eines Unternehmens oder einer Behörde
  • Big-Data-Projekte
  • Profiling, also Verarbeitungsvorgänge, bei denen persönliche Daten systematisch auf bestimmte Kriterien hin ausgewertet werden. 

Datenschutzbeauftragte raten: Aufsichtsbehörden früh kontaktieren

Die Datenschutz-Folgenabschätzung sollten Sie umfassend dokumentieren. So belegen Sie gegenüber Aufsichtsbehörden, dass Sie die DSFA ordnungsgemäß durchgeführt haben. Im Zweifelsfall sollten Sie keine Scheu haben, die Aufsichtsbehörden zu kontaktieren – rät Datenschutzbeauftragte Hansen. Das bietet Ihnen angesichts der noch relativ jungen Thematik mehr Sicherheit bei der Umsetzung.

Wenn Sie ein dem Risiko angemessenes Schutzniveau implementiert haben, ist das aber noch nicht alles: Die DSGVO verlangt die regelmäßige Überprüfung, Bewertung und Evaluierung der Maßnahmen. Das erreichen Sie am besten mit einem funktionierenden Risikomanagement, weiß Expertin Hansen. Bei einem Antiviren-Programm reicht es ja auch nicht aus, es einmal auf den PC aufzuspielen: Man muss ständig prüfen, ob es Updates mit Verbesserungen gibt. Das gilt auch bei der Datenschutz-Folgenabschätzung. Die Aufsichtsbehörden werden nach Inkrafttreten der DSGVO am 25. Mai 2018 sicher weitere Präzisierungen und Ausführungen veröffentlichen, die beachtet werden müssen.

Sie möchten mehr über die DSGVO wissen? Einen Beitrag über die gesamten Inhalte finden Sie hier.

Passende Seminare zu diesem Thema

Press enter button on the keyboard computer Shield cyber Key lock security system abstract technology world digital link cyber security on hi tech Dark blue background, Enter password to log in. lock finger Keyboard
Seminar

Verarbeitungsverzeichnisse und Folgenabschätzung (DSFA)

Die Anforderungen an Verarbeitungsverzeichnisse und Datenschutz-Folgenabschätzung (DSFA) nach der DSGVO.
Zum Seminar

Haben Sie Fragen?

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen