Datenschutz-Folgenabschätzung
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Datenschutz-Folgenabschätzung

Bud P. Brügger (ULD)

Die endgültige Fassung dieses Abschnitts wurde von Hans Graux, Gastdozent für IKT- und Datenschutzrecht am Tilburg Institute for Law, Technology, and Society (TILT) und an der AP Hogeschool Antwerpen, validiert. Präsident der Vlaamse Toezichtscommissie (Flämische Aufsichtskommission), die die Einhaltung des Datenschutzes in flämischen öffentlichen Einrichtungen überwacht.

 

In bestimmten Fällen verlangt die Datenschutz-Grundverordnung von den Verantwortlichen die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Im Folgenden wird dieses Konzept durch die Beantwortung einiger Schlüsselfragen beschrieben:

 

Die Antworten stützen sich in erster Linie auf die Datenschutz-Grundverordnung selbst und auf die Leitlinien der Artikel-29-Datenschutzgruppe zu diesem Thema (wp248rev.01)[1], die vom Europäischen Datenschutzausschuss formell gebilligt wurde[2], [3].

Checkliste
  • Prüfen Sie, ob Sie für Ihre Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung durchführen müssen.
    • Siehe unten: In welchen Fällen muss ich eine Datenschutz-Folgenabschätzung durchführen?
  • Dokumentieren Sie diese Überprüfung (unabhängig davon, ob sie positiv ausgefallen ist oder nicht).

Wenn eine DSFA erforderlich ist:

  • Beginnen Sie so früh wie möglich (nach dem Grundsatz des „Datenschutzes durch Techniggestaltung“).
    • Siehe unten: Zu welchem Zeitpunkt muss die Datenschutz-Folgenabschätzung durchgeführt/aktualisiert werden?
  • Verschaffen Sie sich einen Überblick darüber, was eine DSFA ist. Siehe unten:
    • Was ist eine DSFA?
    • Was sind die Ziele einer DSFA?
    • Für welche Zielgruppe ist ein DSFA-Bericht gedacht?
    • Wer ist für die Durchführung einer DSFA verantwortlich?
    • Was passiert, wenn ich sie nicht ausführe?
  • Verwenden Sie nach Möglichkeit die von der zuständigen Datenschutzaufsichtsbehörde bereitgestellten Leitlinien und Vorlagen.
  • Wenn dies nicht der Fall ist (Ihre Datenschutzaufsichtsbehörde stellt kein solches Material zur Verfügung oder Sie müssen viele Zuständigkeitsbereiche verschiedener Datenschutzaufsichtsbehörden abdecken), folgen Sie den Leitlinien der Artikel-29-Datenschutzgruppe in wp248rev.01.
    • Weitere Informationen siehe unten.
    • Unter Gibt es eine standardisierte Methode für die Durchführung einer Datenschutz-Folgenabschätzung finden Sie einen Überblick und Hilfe bei der Auslegung von WP248rev.01.
  • Stellen Sie das für die Durchführung der DSFA erforderliche Team zusammen.
    • Siehe unten: Wer sollte an der Durchführung einer Datenschutz-Folgenabschätzung beteiligt sein?
  • Überlegen Sie, wie Sie sich Ihre Arbeit erleichtern können.
    • Siehe unten: Was die Durchführung einer Datenschutz-Folgenabschätzung erleichtern kann.
DOs
  • Beginnen Sie so früh wie möglich mit der Arbeit an der DSFA.
  • Betonen und dokumentieren Sie den (kontinuierlichen) Prozess, nicht nur das Ergebnis (Bericht).
  • Nutzen Sie die DSFA als Entscheidungshilfe für sich selbst.
  • Beziehen Sie den Datenschutzbeauftragten und alle anderen obligatorischen Parteien ein.
  • Konzentrieren Sie sich auf technische und organisatorische Maßnahmen, die die Risiken auf ein akzeptables Niveau senken.
  • Setzen Sie bei Bedarf einen Zeitplan für die Überarbeitung und Aktualisierung der DSFA um
DON’Ts
  • Verwechseln Sie die DSFA nicht mit dem IT-Sicherheitsrisikomanagement.
  • Denken Sie nicht nur an die Risiken für Ihr Unternehmen und seine Vermögenswerte, sondern auch an die Risiken für die betroffenen Personen und andere natürliche Personen, die von Ihrer Verarbeitung betroffen sind.
  • Verstehen Sie Risiko nicht als ein unerwünschtes Ereignis (z. B. einen Angriff oder eine Naturkatastrophe), sondern betrachten Sie Ihren Prozess als Risikoquelle, selbst wenn alles wie geplant verläuft.
Weitere Lektüre

  • Anleitungen und Vorlagen werden möglicherweise von Ihrer zuständigen Datenschutzaufsichtsbehörde bereitgestellt, die der Hauptadressat der Datenschutz-Folgenabschätzung ist. (Was genau verfügbar ist, hängt davon ab, wo Sie ansässig sind)
  • WP248rev.01, ARTIKEL-29-DATENSCHUTZGRUPPE, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (zuletzt besucht am 14.01.2020).

 

Quellenangaben

1wp248rev.01, ARTIKEL-29-DATENSCHUTZGRUPPE, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (zuletzt besucht am 14.01.2020).

2Endorsement of GDPR WP29 guidelines by the EDPB, https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en, Brüssel, 25. Mai 2018, Punkt 6.

3https://edpb.europa.eu/

Skip to content