Die neue Datenschutzfolgenabschätzung – das sollten Sie wissen
 
 
 | 
Datenschutz

Die neue Datenschutzfolgenabschätzung – das sollten Sie wissen

Mit der EU-Datenschutz-Grundverordnung (DSGVO) gelten seit dem 25. Mai 2018 neue gesetzliche Verpflichtungen für die Gewährleistung von Datensicherheit in der Datenverarbeitung. Das übergeordnete Prinzip ist das der Rechenschaftspflicht (»Accountability«). Unternehmen müssen ihre Datenverarbeitungsprozesse nicht nur datenschutzkonform gestalten, sondern diese  Konformität auch dokumentieren. Für besonders risikobehaftete Datenverarbeitung ist seit Mai zudem das neue Instrument der  Datenschutz-Folgenabschätzung  (DSFA) vorgeschrieben. Viele Unternehmen hadern, in welchen Fällen sie eine DSFA vorzunehmen haben oder wie sie diese konkret gestalten sollten. Wir zeigen Ihnen kurz und knapp die wichtigsten Punkte.


Was ist die Datenschutz-Folgenabschätzung  (DSFA)?

In Unternehmen fallen nicht nur gängige Stamm- und Kontaktdaten an, sondern spätestens bei der Videoüberwachung werden hoch sensible Daten von Mitarbeitern und Dritten verarbeitet. Das neue Instrument der DSGVO dient dazu, hoch riskante Verarbeitungen zu beschreiben und deren Risiko bei einer Datenpanne für die betroffenen Personen zu bewerten. In der DSFA sind anschließend geeignete Mittel aufzuzeigen, um die Risiken für die Betroffenen einzudämmen.


Folgende vier Schritte müssen bei der DSFA durchgeführt werden:

  1. Im ersten Schritt müssen die Verantwortlichen systematisch die Verarbeitungsvorgänge beschreiben und die Zwecke des Verarbeitungsvorganges benennen.
  2. Im zweiten Schritt muss geprüft werden, inwieweit die Verarbeitungsvorgänge geeignet sind, um auch den damit verfolgten Zweck zu erreichen.
  3. Im dritten Schritt muss überlegt werden, welche Risiken für den Betroffenen bestehen.
  4. Im vierten Schritt müssen Maßnahmen festgelegt werden, um den Eintritt dieser Risiken zu verhindern.

Kommt man bei dieser Prüfung zu dem Ergebnis, dass nach wie vor hohe Risiken für die Daten der Betroffenen bestehen, auch wenn man Schutzmaßnahmen für die Daten festlegt, sollte man die Aufsichtsbehörde konsultieren und weitere Abhilfemaßnahmen ersuchen.


Allerdings ist es in vielen Fällen nicht klar, welche Verfahren hohe Risiken mit sich bringen. Das sorgt für Unsicherheit auf der Seite der Unternehmen. Abhilfe schaffen die Datenschutzaufsichtsbehörden der Länder. Die Datenschutzaufsichtsbehörden einzelner Länder  stellen seit Mai 2018 sogenannte Positivlisten zur Verfügung: Diese Listen beinhalten diverse Verarbeitungsvorgänge bei denen eine Datenschutzfolgenabschätzung notwendig wird.


Da die einzelnen Länderlisten Unterschiede in ihrer Auslegung aufweisen, hat die Datenschutzkonferenz (DSK) nun eine DSFA-Positivliste herausgegeben. Die gemeinsame Liste ist sehr zu begrüßen, da sie zum einen als Orientierungshilfe für Unternehmen und Organisationen dient und zum anderen eine bundeseinheitliche Regelung darstellt.


Kontaktieren Sie uns falls Sie Fragen zur DSFA haben. Wir helfen Ihnen gerne weiter.