Magazin
Datenschutz Folgenabschätzung

Datenschutz Folgenabschätzung

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Bei der Verarbeitung von personenbezogenen Daten greifen seit dem Inkrafttreten der DSGVO verschärfte Anforderungen. Was früher im Rahmen des alten Bundesdatenschutzgesetzes noch als Vorabkontrolle bekannt war, wurde im Zuge der Datenschutz-Grundverordnung zur Datenschutz-Folgeabschätzung. Insbesondere für kleine und mittlere Unternehmen stellt die Folgenabschätzung eine Herausforderung dar, da es sich hierbei um einen umfangreichen und aufwändigen Prozess handelt. Allerdings ist nicht jedes Unternehmen zu einer Datenschutz-Folgenabschätzung verpflichtet. Genauere Informationen, ob die DSGVO eine Folgenabschätzung von Ihnen verlangt, finden Sie hier.
Datenschutz Folgenabschätzung
Die wichtigsten Erkenntnisse
  • Datenschutz-Folgenabschätzung (DSFA) ist eine erweiterte Risikoeinschätzung nach DSGVO Art. 35.
  • DSFA notwendig bei hohem Risiko für Rechte und Freiheiten natürlicher Personen.
  • DSFA ersetzt die frühere Vorabkontrolle des alten Bundesdatenschutzgesetzes.
  • Proliance 360 Software unterstützt systematisch bei der Umsetzung der Datenschutzkonformität.
  • DSFA hilft nicht nur Betroffenen, sondern auch Unternehmen zur DSGVO-Konformitätssicherung.

Was ist eine Datenschutz-Folgenabschätzung?

Die EU-DSGVO sieht gemäß Artikel 35 eine Datenschutz-Folgenabschätzung (DSFA) vor. Hierbei handelt es sich um eine erweiterte Risikoeinschätzung, die vor bestimmten Verarbeitungen personenbezogener Daten stattfindet. Eine Risikoanalyse sieht die DSGVO generell für alle Datenverarbeitungen vor. Die Datenschutz-Folgenabschätzung unterscheidet sich dadurch, dass sie deutlich umfangreicher und komplexer ist und nur bei kritischen Verarbeitungsprozessen notwendig wird.

Das Verfahren ersetzt die im BDSG (alt) verankerte Vorabkontrolle, die vorgesehen ist, sobald die automatisierte Datenverarbeitung besondere Risiken für Recht und Freiheiten der Betroffenen aufweist. Mithilfe der Datenschutz-Folgenabschätzung sollen mögliche Risiken in der Datenverarbeitung beschrieben und bewertet werden. Dieser Prozess soll die Reduzierung möglicher Risiken zum Ziel haben.

Als Vorgehen können Sie sich folgendes merken:

Erfassen: Wo im Unternehmen werden personenbezogene Daten verarbeitet? Wie sieht das Verfahren der Verarbeitung aus und welchem Zweck dient diese?

Nun müssen Notwendigkeit und Verhältnismäßigkeit dieser konkreten Verarbeitung jeweils im Verhältnis zu dem Zweck der Verarbeitung ermittelt werden.

Risikoanalyse: stellt diese Verarbeitung ein Risiko für die Rechte und Freiheiten einer betroffenen Person dar? Können etwaige Sicherheitsrisiken durch technische und organisatorische Maßnahmen (TOM) abgeschwächt werden?

Wann wird die Datenschutz-Folgenabschätzung notwendig?

Sobald eine Verarbeitung aufgrund Ihrer Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, ist gem. Art. 35 DSGVO eine Datenschutzfolgenabschätzung durchzuführen. Wann genau dies der Fall ist, ist nicht einheitlich definiert. In Art. 35 Abs. 3 DSGVO werden lediglich einige Beispiele genannt, unter anderem Profiling, die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten) oder eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung).

Einen weiteren Anhaltspunkt für die Notwendigkeit einer solchen Datenschutzfolgenabschätzung sind die sog. Positiv- und Negativlisten der Aufsichtsbehörden (Art. 35 Abs. 4 und 5 DSGVO). Je nach Bundesland liegen öffentlich zugänglich verschiedenen Listen vor (nach Abs. 4), an der sich der Ersteller der Datenschutzfolgenabschätzung (DSFA) im jeweiligen Bundesland orientieren muss. Vereinzelt stellen die Aufsichtsbehörden zudem sog. Blacklists (nach Abs. 4) und optional auch Whitelists (Abs. 5) zur Verfügung, denen zu entnehmen ist, wann eine DSFA notwendig ist bzw. wann nicht.

Erschwerend kommt hinzu, dass sich die deutschen Aufsichtsbehörden der einzelnen Bundesländer bei der Regelung zur Notwendigkeit einer DSFA für einzelne Verarbeitungstätigkeiten bisher nicht einigen konnten. Ein Blick auf die Website der zuständigen Datenschutzaufsichtsbehörde Ihres Bundeslandes lohnt sich hier jedoch auf jeden Fall.

Risikominimierung durch die Datenschutz-Folgenabschätzung

Mit einer Datenschutz-Folgenabschätzung sollen die Risiken für die Rechte und Freiheiten betroffener Personen ermittelt werden. Das Ziel ist dann, die Ergebnisse zu bewerten und die erkannten Risiken mit entsprechenden technischen und organisatorischen Maßnahmen (TOM) einzudämmen. Allerdings findet nicht nur eine Risikominimierung für Betroffene statt. Auch der datenschutzrechtlich Verantwortliche schützt sich durch eine Datenschutz-Folgenabschätzung, da er so sicherstellt, dass er Daten DSGVO-konform verarbeitet und dies auch nachweisen kann, sollte es notwendig werden.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Datenschutz-Folgenabschätzung
Technisch organisatorische Maßnahmen
Datensicherheit
Redaktion
Alexander Ingelheim
Co-Founder & CEO
-
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
20
.
08
.
2024
ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
ChatGPT weckt weltweit die Neugierde auf Künstliche Intelligenz. Weit über 100 Millionen Nutzer haben bereits mit dem Chatbot gesprochen, ca. 1,6 Milliarden Zugriffe gibt es monatlich. Doch mit dem Hype wächst auch die Sorge von Datenschützern. Wie sicher ist ChatGPT hinsichtlich Datenschutz und müssen Unternehmen darauf verzichten?
Der beste Weg zum robusten ISMS: Schritte für die Implementierung
17
.
07
.
2024
Der beste Weg zum robusten ISMS: Schritte für die Implementierung
Ein robustes Informationssicherheits-Managementsystem (ISMS) bildet das Rückgrat einer effektiven Sicherheitsstrategie im Unternehmen. Erfahren Sie, auf welchem Weg Sie ein solches System in Ihrem Unternehmen implementieren, damit Hacker draußen bleiben.
Datenschutzprüfung
14
.
10
.
2024
Datenschutzprüfung
Eine Datenprüfung beziehungsweise Datenschutzprüfung kann in unterschiedlicher Form und von verschiedenen Seiten aus vorgenommen werden. Besonders eine Datenschutzprüfung von öffentlich-rechtlicher Seite, die Überwachungsbehörden vornehmen, kann im Falle eines negativen Ausganges sehr ernste Konsequenzen für das Unternehmen haben. Insgesamt ist das Thema auch für die Reputation eines Unternehmens im datenschutzrechtlichen Bereich zunehmend auch für den Wettbewerb mit anderen Unternehmen relevant. Eng verknüpft ist das Thema Datenschutzprüfung auch mit dem Datenschutzbeauftragten des Unternehmens.
Datenschutz im Krankenhaus: So schützen Kliniken ihre Patientendaten
31
.
05
.
2023
Datenschutz im Krankenhaus: So schützen Kliniken ihre Patientendaten
Der Datenschutz im Krankenhaus spielt eine wichtige Rolle. Hier werden zahlreiche besondere personenbezogene Daten verarbeitet, die Auskunft über den Gesundheitszustand einer Person geben. Lesen Sie, welche datenschutzrechtlichen Regelungen zu beachten sind.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
30
.
10
.
2024
Datenschutzaudit: Der Fragenkatalog für die Zertifizierung
Der Datenschutzaudit nach DSGVO bietet für Unternehmen die Möglichkeit, die eigene Datenschutzkonformität freiwillig prüfen zu lassen und nach außen hin durch ein Zertifikat unter Beweis zu stellen.
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
30
.
10
.
2024
Datenschutz im Gesundheitswesen: Ein Blick auf Gesundheitsdaten und die DSGVO
Egal, ob in der Arztpraxis, in der Pflege oder im Krankenhaus – Datenschutz im Gesundheitswesen ist von großer Bedeutung. Wir werfen einen Blick darauf, welche Regeln gemäß der DSGVO für medizinische Daten gelten und geben praktische Tipps, um den Herausforderungen erfolgreich zu begegnen.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
14
.
10
.
2024
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Aufbewahrungsfristen & Löschfristen nach DSGVO
14
.
10
.
2024
Aufbewahrungsfristen & Löschfristen nach DSGVO
Unternehmen verarbeiten oftmals eine Menge personenbezogener Daten. Für diese Datenverarbeitung und -Speicherung benötigen sie eine entsprechende Rechtsgrundlage. Sollte der Grund oder die Rechtsgrundlage hierfür entfallen, sind Unternehmen grundsätzlich verpflichtet, die Daten zu löschen. Hierzu gibt es die sogenannten Aufbewahrungsfristen. Gesetzliche Aufbewahrungsfristen geben vor, wie lange gewisse Unterlagen aufbewahrt werden müssen und schieben die datenschutzrechtlichen Löschfristen nach hinten. Diese Fristen müssen beachtet werden, da sonst Bußgelder die Folge sein können.
datenschutz-Muster

Kostenlose Materialien zum Thema

Vertraulichkeits- und Verschwiegenheits­erklärung Mitarbeiter
Alle Unternehmen die personenbezogene Daten verarbeiten müssen sicherstellen, dass Mitarbeiter und Dienstleister diese Daten vertraulich behandeln. Deshalb ist eine Verpflichtung auf Vertraulichkeit (auch „Vertraulichkeitserklärung“ genannt) notwendig. Um zu dokumentieren, dass die Mitarbeiter im Unternehmen sich dieser Pflicht bewusst sind, entsprechend geschult wurden, und wissen, worauf sie beim Umgang mit personenbezogenen Daten zu achten haben, sieht die DSGVO vor, dass die Mitarbeiter eine Vertraulichkeitserklärung unterschreiben. Dies ergibt sich aus der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO. Mit der Vertraulichkeitserklärung können Unternehmen nicht nur ihren Dokumentationspflichten gegenüber Betroffenen oder Aufsichtsbehörden nachkommen, sondern verringern auch die Gefahr einer unbeabsichtigten Datenschutzverletzung. Die Vertraulichkeitserklärung stärkt zudem das Vertrauen der Kunden oder Geschäftspartner in die datenschutzrechtlichen Praktiken des Unternehmens. Mit unserem juristisch geprüften Verschwiegenheitserklärung-Muster können Sie Ihren Mitarbeitern eine Vertraulichkeitserklärung zukommen und diese unterschreiben lassen. Falls Sie dieser Pflicht nicht nachkommen, können teure Abmahnungen die Folge sein.
Home-Office Vereinbarung für Mitarbeiter
Jetzt Datenschutz-Vorlage downloaden und eine Zusatzvereinbarung Home-Office erstellen
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Datenschutzerklärung für Bewerber
Unternehmen sind gesetzlich dazu verpflichtet, verschiedene Informationspflichten nach der DSGVO einzuhalten. Dazu zählt auch die Datenschutzinformationspflicht gegenüber Ihren Bewerbern. Dabei können Sie eine PDF-Datei in Ihrer Karriereseite oder in den jeweiligen Stellenausschreibungen für die Bewerber zur Verfügung stellen. Um Ihnen die Arbeit zu erleichtern, haben wir eine DSGVO-konforme Vorlage zur Datenschutzbelehrung für Bewerber erstellt. Damit können Sie die Datenschutzinformationspflicht für Bewerber jetzt mit geringerem Zeitaufwand und mehr Sicherheit umsetzen.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!