Die DSGVO sieht für besonders risikobehaftete Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung (DSFA) vor. Wenn also eine Datenverarbeitung für die Rechte und Freiheiten einer Person zu einem hohen oder sehr hohen Risiko führt, muss der Verantwortliche, also das Unternehmen eine Risikobewertung vornehmen, um abzuschätzen, welche Folgen die Verarbeitung für die personenbezogenen Daten haben könnte.
Selbst wenn risikobehaftete Prozesse bereits seit langem im Unternehmen bestehen, muss für diese dennoch eine DSFA durchgeführt werden. Dies gilt auch, wenn für bestehende Prozesse neue Risiken bekannt werden.
Die Datenschutzbehörden haben Blacklisten veröffentlicht in denen Prozesse genannt sind, für die üblicherweise eine DSFA durchgeführt werden muss. Entscheidend ist allerdings, ob aus der Datenverarbeitung ein hohes Risiko für den Betroffenen folgt.
Verantwortlich für die Durchführung einer DSFA ist der Verantwortliche, in der Regel also die Geschäftsführung eines Unternehmens. Die verantwortliche Stelle muss nach der DSGVO den Rat des Datenschutzbeauftragten einholen. Dieser berät in Hinblick auf die Durchführung und überwacht diese.
Die DSGVO legt die Mindestinhalte einer DSFA fest:
Das Risiko für eine Verarbeitung ergibt sich aus dem Schaden, welcher durch eine missbräuchliche Nutzung der Daten ergeben könnte sowie der Eintrittswahrscheinlichkeit dieses Ereignisses.
Sollte im Rahmen dieser vorab erstellten Risikobewertung ein sehr hohes oder hohes Restrisiko bestehen bleiben, muss der Verantwortliche eine DSFA durchführen und ggf. vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einholen.
Je nach Ergebnis der DSFA müssen Maßnahmen zur Risikominimierung vorgenommen werden. Diese orientieren sich am Stand der Technik und haben das Ziel, die personenbezogenen Daten zu schützen.
Wenn ein Verarbeitungsprozess zu einem hohen oder sehr hohen Risiko für die Rechte und Freiheiten einer Person führt, ist eine DSFA verpflichtend.
Der Verantwortliche muss die Einhaltung dieser gesetzlichen Pflicht im Rahmen der Rechenschaftspflicht der DSGVO nachweisen. Die Durchführung und das Ergebnis der Risikobewertung sowie eine daraus abgeleitete DSFA muss dokumentiert werden.
Wenn Sie sich nicht sicher sind, ob Sie eine Datenschutz-Folgenabschätzung durchführen müssen, beraten wir Sie gerne:
Für Datenverarbeitungen in denen personenbezogene Daten wie z.B. Anschrift, Kontaktdaten enthalten sind, gilt ein geringer Schutzbedarf. Kontostände oder Daten über Geschäftsbeziehungen führen zu einem mittleren Schutzbedarf. Das bedeutet, dass bei einer Datenpanne und einem daraus folgenden Datenmissbrauch nur ein geringes Risiko für die Rechte und Freiheiten der Personen besteht. Hierfür ist keine DSFA durchzuführen.
Ein hoher Schutzbedarf besteht für personenbezogene Daten, die einem Berufs-, Geschäfts-, Fernmelde- oder Mandantengeheimnis unterliegen, Steuerdaten oder auch Mitarbeiterbeurteilungen im Arbeitsverhältnis.
Eine unrechtmäßige Verwendung dieser Daten kann zu hohen Folgeschäden für die Betroffenen führen, was zur Pflicht der Durchführung einer DSFA führt.
Die Art. 29-Datenschutzgruppe hat zur Orientierung einen Leitfaden veröffentlicht, anhand dessen eine Pflicht zur DSFA überprüft werden kann. Je mehr Kriterien zutreffen, desto risikobehafteter ist ein Verarbeitungsprozess:
Die Risikobewertung von Prozessen ist zwingend vorgeschrieben bei risikobehafteten Datenverarbeitungen. Wenn ein sehr hohes oder hohes Risiko jedoch durch geeignete technische und organisatorische Maßnahmen auf ein normales Risiko reduziert werden kann, muss im Anschluss keine DSFA durchgeführt werden. Eine Ausnahme gilt, wenn für diese Prozesse eine hohe Eintrittswahrscheinlichkeit gilt, dann muss trotz zusätzlicher Maßnahmen eine DSFA durchgeführt werden.