Unser Service:

Datenschutz-Folgenabschätzung (DSFA)

Wir beraten Sie als externer DSB bei der Durchführung einer DSFA. Diese Risikoanalyse ist in bestimmten Fällen vorgeschrieben.
Jetzt Kontakt aufnehmen

Wann eine DSFA wichtig für Ihr Unternehmen ist

Die DSGVO sieht für besonders risikobehaftete Verarbeitungsprozesse eine Datenschutz-Folgenabschätzung (DSFA) vor. Wenn also eine Datenverarbeitung für die Rechte und Freiheiten einer Person zu einem hohen oder sehr hohen Risiko führt, muss der Verantwortliche, also das Unternehmen eine Risikobewertung vornehmen, um abzuschätzen, welche Folgen die Verarbeitung für die personenbezogenen Daten haben könnte.

Selbst wenn risikobehaftete Prozesse bereits seit langem im Unternehmen bestehen, muss für diese dennoch eine DSFA durchgeführt werden. Dies gilt auch, wenn für bestehende Prozesse neue Risiken bekannt werden.

Die Datenschutzbehörden haben Blacklisten veröffentlicht in denen Prozesse genannt sind, für die üblicherweise eine DSFA durchgeführt werden muss. Entscheidend ist allerdings, ob aus der Datenverarbeitung ein hohes Risiko für den Betroffenen folgt.

Wer führt eine Datenschutz-Folgenabschätzung (DSFA) durch?

Verantwortlich für die Durchführung einer DSFA ist der Verantwortliche, in der Regel also die Geschäftsführung eines Unternehmens. Die verantwortliche Stelle muss nach der DSGVO den Rat des Datenschutzbeauftragten einholen. Dieser berät in Hinblick auf die Durchführung und überwacht diese.

Was brauche ich für eine Datenschutz-Folgenabschätzung?

Als Grundlage für eine DSFA ist es sinnvoll, das Verzeichnis der Verarbeitungstätigkeiten (VVT) eines Unternehmens heranzuziehen. In diesem unternehmensinternen Dokument sind alle Prozesse, in denen personenbezogene Daten verarbeitet werden, aufgelistet. Für jeden dieser Prozesse kann eine Risikobewertung durchgeführt werden.

Wie funktioniert eine Risikobewertung?

Die DSGVO legt die Mindestinhalte einer DSFA fest:

  1. Systematische Beschreibung der Datenverarbeitungen und deren Zwecke
  2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung
  3. Risikobewertung
  4. Geplante Abhilfemaßnahmen zur Reduzierung der Risiken

Das Risiko für eine Verarbeitung ergibt sich aus dem Schaden, welcher durch eine missbräuchliche Nutzung der Daten ergeben könnte sowie der Eintrittswahrscheinlichkeit dieses Ereignisses.

Sollte im Rahmen dieser vorab erstellten Risikobewertung ein sehr hohes oder hohes Restrisiko bestehen bleiben, muss der Verantwortliche eine DSFA durchführen und ggf. vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einholen.

Je nach Ergebnis der DSFA müssen Maßnahmen zur Risikominimierung vorgenommen werden. Diese orientieren sich am Stand der Technik und haben das Ziel, die personenbezogenen Daten zu schützen.

Gibt es eine Pflicht zur DSFA?

Wenn ein Verarbeitungsprozess zu einem hohen oder sehr hohen Risiko für die Rechte und Freiheiten einer Person führt, ist eine DSFA verpflichtend.

Der Verantwortliche muss die Einhaltung dieser gesetzlichen Pflicht im Rahmen der Rechenschaftspflicht der DSGVO nachweisen. Die Durchführung und das Ergebnis der Risikobewertung sowie eine daraus abgeleitete DSFA muss dokumentiert werden.  

Wenn Sie sich nicht sicher sind, ob Sie eine Datenschutz-Folgenabschätzung durchführen müssen, beraten wir Sie gerne:

Jetzt beraten lassen

Für welche Datenverarbeitungen brauche ich eine DSFA?

Für Datenverarbeitungen in denen personenbezogene Daten wie z.B. Anschrift, Kontaktdaten enthalten sind, gilt ein geringer Schutzbedarf. Kontostände oder Daten über Geschäftsbeziehungen führen zu einem mittleren Schutzbedarf. Das bedeutet, dass bei einer Datenpanne und einem daraus folgenden Datenmissbrauch nur ein geringes Risiko für die Rechte und Freiheiten der Personen besteht. Hierfür ist keine DSFA durchzuführen.

Ein hoher Schutzbedarf besteht für personenbezogene Daten, die einem Berufs-, Geschäfts-, Fernmelde- oder Mandantengeheimnis unterliegen, Steuerdaten oder auch Mitarbeiterbeurteilungen im Arbeitsverhältnis.

Eine unrechtmäßige Verwendung dieser Daten kann zu hohen Folgeschäden für die Betroffenen führen, was zur Pflicht der Durchführung einer DSFA führt.

Die Art. 29-Datenschutzgruppe hat zur Orientierung einen Leitfaden veröffentlicht, anhand dessen eine Pflicht zur DSFA überprüft werden kann. Je mehr Kriterien zutreffen, desto risikobehafteter ist ein Verarbeitungsprozess:

  • Scoring und Evaluierung (Profilbildung und Vorhersagen)
  • Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung
  • Systematische Beobachtung (z.B. am Arbeitsplatz)
  • Sensible Daten
  • Datenverarbeitung in großem Umfang
  • Datensätze, die abgeglichen oder kombiniert werden
  • Daten von besonders schutzbedürftigen Personen (z.B. Arbeitnehmer, Kinder)
  • Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (bspw. Kombination Fingerabdruckscan/Gesichtserkennung)
  • Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen (z.B. Bank verlangt die Analyse von Daten eines potenziellen Kreditkunden vor Entscheidung über einen Vertragsabschluss)

Wie vermeide ich eine DSFA?

Die Risikobewertung von Prozessen ist zwingend vorgeschrieben bei risikobehafteten Datenverarbeitungen. Wenn ein sehr hohes oder hohes Risiko jedoch durch geeignete technische und organisatorische Maßnahmen auf ein normales Risiko reduziert werden kann, muss im Anschluss keine DSFA durchgeführt werden. Eine Ausnahme gilt, wenn für diese Prozesse eine hohe Eintrittswahrscheinlichkeit gilt, dann muss trotz zusätzlicher Maßnahmen eine DSFA durchgeführt werden.

Wir unterstützen Sie bei der Durchführung einer Datenschutz-Folgenabschätzung, sodass Sie sich wieder auf Ihr Kerngeschäft konzentrieren können.

Wir freuen uns darauf, Sie kennenzulernen.

    Ihre persönlichen Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage genutzt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

    Oder rufen Sie uns an

    +49 (0) 89 215 281 07

    Unsere Services
    als externer DSB

    Wir unterstützen Startups, kleine Unternehmen und Mittelständler als externer Datenschutzbeauftragter.

    Benennung als externer Datenschutzbeauftragter

    Für viele Unternehmen besteht die Pflicht, einen Datenschutzbeauftragten zu benennen. Gerne beraten wir Sie, ob dies auf Sie zutrifft.

    Datenschutz-Audit

    Als externer DSB führen wir mit Ihnen eine Risikoanalyse durch, um Lücken zu erkennen. Sie erhalten einen konkreten Maßnahmenplan mit praxisnahen Tipps.

    Mitarbeiterschulungen durch Ihren externen DSB

    Schulungen, E-Learning und Workshops für Mitarbeiter, Ableitungsleiter und Geschäfts-führung zu den Anforderungen des Datenschutzrechts.

    Datenschutzrechtliche Dokumentation

    Erfüllung der umfangreichen Dokumentationspflichten wie z.B. Verzeichnis der Verarbeitungstätigkeiten (VVT), technische und organisatorische Maßnahmen (TOM) etc.

    Datenschutz-Folgenabschätzung (DSFA)

    Wir beraten Sie als externer DSB bei der Durchführung einer DSFA. Diese Risikoanalyse ist in bestimmten Fällen vorgeschrieben.

    Regelmäßige Datenschutz-Updates

    Sie bleiben immer auf dem neuesten Stand über die aktuellsten Entwicklungen zum Thema Datenschutz und Informationssicherheit.

    Datenschutzerklärungen

    Erfüllung Ihrer Informations-pflichten gegenüber Webseiten-besuchern, Kunden, Mitarbeitern, Geschäftspartnern und Lieferanten.

    Privacy by Design & Default

    Wir begleiten Sie bei der datenschutzkonformen Gestaltung Ihrer Systeme, Dienstleistungen, Produkte und Prozesse.

    Datenschutzmanagement-system (DSMS)

    Gemeinsam mit Ihnen erstellen wir Ihr internes DSMS, das alle implementierten Regelungen, Prozesse, Dokumente und Maßnahmen umfasst.
    PrivacyPoint
    star-halffile-emptylicensebookchart-barsrocketredomagnifierpointer-right