Datenschutz-Folgenabschätzung

Insbesondere in folgenden Fällen ist eine Datenschutz-Folgenabschätzung erforderlich:

• Die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitungsprozesse (einschließlich Profiling, auf denen rechtserhebliche Entscheidungen gegenüber den betroffenen Personen beruhen oder sich in anderer Weise auf diese erheblich auswirken);
• eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder
• die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Folgenabschätzung hat zumindest folgende Angaben zu enthalten:

• systematische Beschreibung der geplanten Verarbeitungsvorgänge;
• Beschreibung der Zwecke der Verarbeitung,
• sofern der Datenverarbeitung als Rechtsgrundlage die Interessensabwägung zugrunde liegt: verfolgte berechtigte Interessen;
• Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
• Abhilfemaßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt werden soll (hierdurch ist der Nachweis zu erbringen, dass die Vorgaben des Datenschutzes eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener ausreichend Rechnung getragen werden) sowie – sofern sinnvoll –
• Verfahren zur Überprüfung der Wirksamkeit der getroffenen Abhilfemaßnahmen.

Die Datenschutz-Folgenabschätzung hat durch den Verantwortlichen, also den Verfahrensverantwortlichen zu erfolgen. Gemäß Artikel 35 DSGVO holt dieser bei der Durchführung den Rat des Datenschutzbeauftragten ein.

Fordern Sie noch heute ein unverbindliches Angebot an.

Durchführungsentscheidung

In einem ersten Schritt muss festgestellt werden, ob eine Datenschutz-Folgenabschätzung für das vorliegende Verfahren bzw. die dahinterstehende Software wirklich notwendig ist. Diese Prüfung gilt es zu dokumentieren.

Stufe 1: Erfassung des Verarbeitungsprozesses

Zu Beginn der Datenschutz-Folgenabschätzung müssen alle für den Verarbeitungsprozess und für die Datenschutz-Folgenabschätzung relevanten Informationen gesammelt, beschrieben und dokumentiert werden. Um dies durchzuführen, bedarf es einer tieferen Untersuchung der Datenflüsse im Rahmen der Verarbeitungstätigkeit. Diese Tätigkeit bildet die Grundlage für die nachgelagerten Stufen der Datenschutz-Folgenabschätzung. Neben den vorherigen Aspekten gilt es auch die zugrundeliegende Rechtsgrundlage zu bestimmen.

Stufe 2: Bewertung der Verhältnismäßigkeit und Notwendigkeit der Verarbeitung

In der zweiten Stufe der Datenschutz-Folgenabschätzung wird der Forderung der DSGVO nachgekommen, dass die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung in Bezug auf den zugrunde liegenden Zweck hin zu bewerten und zu dokumentieren ist.

Stufe 3: Risikoeinschätzung

In der dritten Stufe der Datenschutz-Folgenabschätzung wird eine Risikoeinschätzung vorgenommen. Zum Zwecke der Risikoeinschätzung werden in einem ersten Schritt Risiko-Szenarien entwickelt. Bei der Aufstellung der Risiko-Szenarien findet eine Orientierung an den Schutzzielen des Standard-Datenschutzmodells, an den in Erwägungsgrund 75 festgehalten Schadensszenarien für die betroffenen Personen und an aus der Praxis bewährten Kriterien statt. In der nächsten Phase müssen die im Rahmen der Verarbeitungstätigkeit bereits umgesetzten Maßnahmen erfasst werden. Abschließend findet eine Abwägung der umgesetzten Maßnahmen gegenüber den Risiko-Szenarien statt.

Stufe 4: Identifizierung und Ableitung von Abhilfemaßnahmen

Auf Basis der in Stufe drei entwickelten Risiko-Szenarien und der ebenfalls in Stufe drei vorgenommenen Bewertung der Risiken, werden in der vierten Stufe der Datenschutz-Folgenabschätzung weitere geeignete Abhilfemaßnahmen identifiziert. Nach der Identifizierung der zur Reduzierung der Risiken beitragenden Abhilfemaßnahmen, werden diese an das Unternehmen weitergegeben mit der Empfehlung diese zu implementieren. Bei der Entwicklung der möglicher Abhilfemaßnahmen orientieren wir uns zum einem an gängigen Maßnahmenkatalogen und Normen (bspw. SDM-Bausteines des ULD, ISO 27001) und zum anderen an praktikablen und angemessen Maßnahmen aus der Datenschutzberatungspraxis.

Stufe 5: Fazit der Datenschutz-Folgenabschätzung

Abschließend wird, unter Berücksichtigung des Verarbeitungsprozesses, der Risiko-Szenarien und der Gesamtheit der implementierten Abhilfemaßnahmen, eine Empfehlung verfasst und ein Fazit-Vorschlag zur weiteren Diskussion mit den Verantwortlichen erstellt. Sofern gewünscht wird ein Abschlussgespräch geführt, in dem die Inhalte der Datenschutz-Folgenabschätzung, die Empfehlung und das Fazit erörtert und diskutiert werden können.

Im Nachfolgenden ist der Ablauf noch einmal grafisch dargestellt: