Datenschutz-Folgenabschätzung nach der DSGVO

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen zu erhöhter Sorgfalt im Umgang mit personenbezogenen Daten verpflichtet. Eine Schlüsselkomponente dieses Prozesses ist die Datenschutz-Folgenabschätzung (DSFA). Unsere Experten stehen bereit, um dir bei der Durchführung und Umsetzung einer erfolgreichen DSFA zu helfen.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung ist ein Verfahren, das dazu dient, die Auswirkungen bestimmter Verarbeitungsvorgänge auf den Schutz personenbezogener Daten zu bewerten. Sie wird durchgeführt, um die Risiken, die von der Datenverarbeitung ausgehen, zu minimieren und um zu gewährleisten, dass alle Datenschutzvorgaben eingehalten werden.

Warum ist die DSFA so wichtig?

Die Datenschutz-Folgenabschätzung (DSFA) ist aus mehreren Gründen von zentraler Bedeutung:

  1. Rechtliche Konformität: Die DSFA ist eine gesetzliche Anforderung gemäß Artikel 35 der Datenschutz-Grundverordnung (DSGVO). Nichtbeachtung kann zu erheblichen Sanktionen führen, darunter Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
  2. Risikominimierung: Durch die DSFA können Unternehmen potenzielle Datenschutzrisiken frühzeitig erkennen und Maßnahmen zur Minderung dieser Risiken erarbeiten. Dadurch wird das Risiko von Datenschutzverletzungen und damit verbundenen negativen Folgen, wie Reputationsschäden und Vertrauensverlust, verringert.
  3. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen: Die DSFA unterstützt das Prinzip von „Privacy by Design und Privacy by Default“, indem sie sicherstellt, dass Datenschutzüberlegungen von Anfang an in neue Projekte, Prozesse oder Produkte integriert werden. 
     

Wann ist eine Datenschutz-Folgenabschätzung nach DSGVO notwendig?

Artikel 35 Absatz 1 der DSGVO legt fest, dass eine DSFA notwendig ist, wenn die geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt (insbesondere unter Verwendung neuer Technologien, aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke).

Was muss die DSFA beinhalten und wie führt man eine DSFA durch?

Artikel 35 Absatz 7 der DSGVO bestimmt, dass eine DSFA die systematische Beschreibung der geplanten Verarbeitungsvorgänge, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck und eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten muss.

Unser Team von Datenschutzexperten hat einen ausführlichen Leitfaden zur Durchführung einer DSFA erstellt. Von der Identifizierung der Datenverarbeitungsaktivitäten bis hin zur Dokumentation und Überprüfung deines Prozesses, wir begleiten dich Schritt für Schritt durch den Prozess.

Schritt 1: Identifizierung der Datenverarbeitungsaktivitäten

Die DSFA beginnt mit der Identifizierung aller Verarbeitungsaktivitäten, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnten.

Schritt 2: Bewertung der Datenschutzrisiken

Bewerte die potenziellen Risiken, die mit diesen Verarbeitungsaktivitäten verbunden sind. Unsere Experten helfen dir dabei, diese Risiken zu identifizieren und deren Folgen abzuschätzen.

Schritt 3: Maßnahmen zur Minderung der Risiken

Entwickle Maßnahmen zur Minderung der identifizierten Risiken. Unsere Experten Rechtsanwält*innen unterstützen dich bei der Auswahl geeigneter Maßnahmen.
 

Brauchst du Hilfe mit der DSFA?

Frequently asked questions

Unsere Preise ansehen

Die Häufigkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von mehreren Faktoren ab, darunter die Art der Datenverarbeitung, das Auftreten von Änderungen oder neuen Risiken und die Relevanz der Verarbeitung für die Privatsphäre. Generell ist es ratsam, die DSFA regelmäßig zu überprüfen und zu aktualisieren.

Artikel 35 Absatz 2 der DSGVO bestimmt, dass der „Verantwortliche“ die DSFA durchführt.
In der Regel ist der für die Datenverarbeitung Verantwortliche dafür zuständig, die Datenschutz-Folgenabschätzung durchzuführen und den Rat des Datenschutzbeauftragten, intern oder extern, einzubeziehen.

Das Versäumnis, eine erforderliche Datenschutz-Folgenabschätzung durchzuführen, kann zu erheblichen Strafen nach der DSGVO führen, einschließlich Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Die DSFA besteht in der Regel aus drei Hauptteilen:

  • Eine systematische Beschreibung der geplanten Datenverarbeitungsvorgänge und der Zwecke der Verarbeitung.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die vorgesehenen Abhilfemaßnahmen, Garantien und Mechanismen zur Minderung dieser Risiken.

Der Datenschutzbeauftragte spielt eine wesentliche Rolle bei der Durchführung der DSFA. Er oder sie berät den Verantwortlichen oder Auftragsverarbeiter hinsichtlich der Durchführung der DSFA, überprüft die Ergebnisse und stellt sicher, dass die DSFA in Übereinstimmung mit der DSGVO durchgeführt wird.

Nicht alle Unternehmen sind zur Durchführung einer DSFA verpflichtet. Die Pflicht zur Durchführung einer DSFA ergibt sich aus Art. 35 DSGVO und betrifft nur Verarbeitungsvorgänge, die insbesondere unter Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Obwohl es möglich ist, eine DSFA selbst durchzuführen, ist es aufgrund der Komplexität der Anforderungen der DSGVO oft empfehlenswert, einen Experten für Datenschutzrecht oder einen Datenschutzbeauftragten zu Rate zu ziehen.

Die DSGVO bietet eine Reihe von Leitlinien für die Durchführung einer DSFA. Es ist wichtig, dass du dich mit diesen Leitlinien vertraut machst und sie in deine DSFA einbeziehst. Darüber hinaus kann die Beratung durch einen externen Datenschutzexperten oder Datenschutzbeauftragten helfen, die Konformität sicherzustellen.