Eine Datenschutzfolgenabschätzung gemäß Art. 35 EU-DSGVO ist ein Verfahren, das dazu dient, die Auswirkungen bestimmter Verarbeitungsvorgänge auf den Schutz personenbezogener Daten zu bewerten. Sie wird durchgeführt, um die Risiken, die von der Datenverarbeitung ausgehen, zu minimieren und um zu gewährleisten, dass alle Datenschutzvorgaben eingehalten werden. Ein praktisches Beispiel zeigt die Bedeutung dieses Verfahrens: Durch die Durchführung einer Datenschutzfolgenabschätzung können Unternehmen das Haftungsrisiko bei Datenlecks, Cyberangriffen oder anderen Datenschutzverletzungen reduzieren. Darüber hinaus hilft sie, hohe Strafen der Datenschutzbehörden zu vermeiden, die auftreten können, wenn die Betroffenenrechte nicht berücksichtigt werden. Insgesamt trägt die Datenschutzfolgenabschätzung dazu bei, sowohl rechtliche als auch finanzielle Konsequenzen zu minimieren und das Vertrauen der betroffenen Personen zu stärken.
Die Datenschutz-Folgenabschätzung (DSFA) ist aus mehreren Gründen von zentraler Bedeutung:
Artikel 35 Absatz 1 der DSGVO legt fest, dass eine DSFA notwendig ist, wenn die geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Um das Risiko bei der Datenverarbeitung bewerten zu können, hat eine Expertengruppe eine Liste von 9 Kriterien zusammengestellt, die das Risiko erhöhen.
Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn das Risiko für die Betroffenen hoch ist und mindestens zwei Kriterien erfüllt sind. Aufsichtsbehörden sind verpflichtet, Positivlisten zu veröffentlichen, welche die notwendigen Verarbeitungsvorgänge auflisten. Auch Verarbeitungstätigkeiten, bei denen wenige Kriterien erfüllt sind, können ein hohes Risiko darstellen und erfordern daher auch eine Einzelfallprüfung.
Wir sind ein externer Datenschutzbeauftragter, der auf Compliance spezialisiert ist. Wenn du Fragen zur DSFA hast, kannst du dich gerne mit uns in Verbindung setzen.
Artikel 35 Absatz 7 der DSGVO bestimmt, dass eine DSFA die systematische Beschreibung der geplanten Verarbeitungsvorgänge, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck und eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten muss.
Unser Team von Datenschutzexperten hat einen ausführlichen Leitfaden zur Durchführung einer DSFA erstellt. Von der Identifizierung der Datenverarbeitungsaktivitäten bis hin zur Dokumentation und Überprüfung deines Prozesses, wir begleiten dich Schritt für Schritt durch den Prozess.
Die DSFA beginnt mit der Identifizierung aller Verarbeitungsaktivitäten, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnten.
Bewerte die potenziellen Risiken, die mit diesen Verarbeitungsaktivitäten verbunden sind. Unsere Experten helfen dir dabei, diese Risiken zu identifizieren und deren Folgen abzuschätzen.
Entwickle Maßnahmen zur Minderung der identifizierten Risiken. Unsere Expertenteam aus Rechtsanwält:innen unterstützt dich bei der Auswahl geeigneter Maßnahmen.
Da Unternehmen zunehmend neue Technologien und Cloud-Strukturen einführen, ist eine Datenschutzfolgenabschätzung sinnvoll, um die Risiken bei der Einführung neuer Technologien zu bewerten und zu mindern.
Eine DSFA wird relevant, wenn euer Unternehmen mit Gesundheitsdaten arbeitet oder plant Systeme oder Apps zu entwickeln, die sensible Daten verarbeiten. Da Gesundheitsdaten besonders schützenswert sind, sind die Anforderungen an den Datenschutz an dieser Stelle besonders hoch. Somit hilft sie dabei nicht nur die rechtlichen Anforderungen zu erfüllen, sondern stärkt auch das Vertrauen der Nutzer in die Sicherheit ihrer Daten.
"heyData hat uns mit ihrer digitalen Software-Lösung und Fachkompetenz überzeugt. Wie auch wir ist heyData digitaler Vorreiter in einer eher traditionellen und wenig digitalen Industrie. heyData ist ein starker Partner für die BRZ-Gruppe."
Leiter Kundenservice bei BRZ Gruppe
"heyData ist eine große Hilfe für uns und macht das Thema Datenschutz wirklich einfach. Mit dem digitalen Audit, den Online-Trainings und dem Kundensupport sind wir sehr zufrieden."
CTO und Co-Founder bei Hive Technologies GmbH
"Ich schätze diese Funktion für ihre Fähigkeit, die Bewertung von Lieferantenrisiken zu vereinfachen. Es ist ein unverzichtbares Werkzeug für jeden, der sich mit Datenkonformität in der Europäischen Union und der Schweiz befasst."
Head of Legal Affairs bei Learnship
“Als Kunde haben wir nur gute Erfahrungen mit dem Support und der Kommunikation von heyData gemacht. Fragen wurden ausführlich beantwortet, die Antworten kamen immer prompt und auch der persönliche 1-1-Support ist kein Problem.“
Director Of Customer Support bei AMBOSS
“Es ist eine flexible Lösung, welche ideal auf unsere Bedürfnisse zugeschnitten werden konnte. Nun ist immer alles auf dem aktuellen Stand des Datenschutzes.”
Vertrieb bei Frank GmbH
“Wir werden von heyData immer kompetent und zeitnah beraten und konnten bisher zu jeder Fragestellung in Bezug auf die DSGVO bzw. Datenschutz allgemein eine zufriedenstellende Lösung finden.”
CTO bei Instaffo GmbH
Die Häufigkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von mehreren Faktoren ab, darunter die Art der Datenverarbeitung, das Auftreten von Änderungen oder neuen Risiken und die Relevanz der Verarbeitung für die Privatsphäre. Generell ist es ratsam, die DSFA regelmäßig zu überprüfen und zu aktualisieren.
Artikel 35 Absatz 2 der DSGVO bestimmt, dass der „Verantwortliche“ die DSFA durchführt.
In der Regel ist der für die Datenverarbeitung Verantwortliche dafür zuständig, die Datenschutz-Folgenabschätzung durchzuführen und den Rat des Datenschutzbeauftragten, intern oder extern, einzubeziehen.
Das Versäumnis, eine erforderliche Datenschutz-Folgenabschätzung durchzuführen, kann zu erheblichen Strafen nach der DSGVO führen, einschließlich Geldbußen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.
Die DSFA besteht in der Regel aus drei Hauptteilen:
Eine Datenschutzfolgenabschätzung ist notwendig, wenn Datenverarbeitungen ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bergen, wie z. B. bei sensiblen Daten. Die Verarbeitung sensibler Daten erfordert eine sorgfältige Bewertung der damit verbundenen Gefahren und potenziellen Auswirkungen auf die Privatsphäre, um die Einhaltung der Datenschutzvorgaben zu gewährleisten wie zum Beispiel:
Der Datenschutzbeauftragte spielt eine wesentliche Rolle bei der Durchführung der DSFA. Er oder sie berät den Verantwortlichen oder Auftragsverarbeiter hinsichtlich der Durchführung der DSFA, überprüft die Ergebnisse und stellt sicher, dass die DSFA in Übereinstimmung mit der DSGVO durchgeführt wird.
Nicht alle Unternehmen sind zur Durchführung einer DSFA verpflichtet. Die Pflicht zur Durchführung einer DSFA ergibt sich aus Art. 35 DSGVO und betrifft nur Verarbeitungsvorgänge, die insbesondere unter Verwendung neuer Technologien ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.
Obwohl es möglich ist, eine DSFA selbst durchzuführen, ist es aufgrund der Komplexität der Anforderungen der DSGVO oft empfehlenswert, einen Experten für Datenschutzrecht oder einen Datenschutzbeauftragten zu Rate zu ziehen.
Die DSGVO bietet eine Reihe von Leitlinien für die Durchführung einer DSFA. Es ist wichtig, dass du dich mit diesen Leitlinien vertraut machst und sie in deine DSFA einbeziehst. Darüber hinaus kann die Beratung durch einen externen Datenschutzexperten oder Datenschutzbeauftragten helfen, die Konformität sicherzustellen.