Frank Müns
Frank Müns
23.09.2022

Alles zur Datenschutzfolgeabschätzung

Was ist eine Datenschutzfolgeabschätzung?

Die Datenschutzfolgeabschätzung (DSFA) beschreibt in der DSGVO die Verpflichtung von Unternehmen, bei Bedarf eine ausführliche Beschreibung und Evaluierung der datenschutzrechtlichen Risiken vorzunehmen. Dabei wir geprüft, welche Risiken bezüglich der Rechte und Freiheiten der Betroffenen bestehen. Aus dieser Prüfung und Einschätzung leitet sich die Rechtmäßigkeit der verschiedenen Maßnahmen für die Datenverarbeitung ab.

Mit der DSFA soll also herausgefunden werden, ob die Maßnahmen der Datenschutzverarbeitung in einem Unternehmen ein datenschutzrechtliches Risiko für Betroffene darstellen oder nicht. Ist dies der Fall, dann muss das Unternehmen reagieren und das bestehende Datenschutzkonzept ändern. Im Rahmen der Risikoanalyse wird auch abgeschätzt, wie wahrscheinlich es ist, dass ein Datenschutzverstoß oder Sicherheitsvorfall eintritt. Eine Datenschutzfolgeabschätzung ist also eine Präventivmaßnahme, mit der Datenschutzverstöße vermieden werden sollen.

Welche Schäden verhindert eine Datenschutzfolgeabschätzung?

Eine Datenschutzfolgeabschätzung soll die Risiken für Sicherheitsvorfälle und Datenschutzverstöße minimieren. Außerdem gibt sie Unternehmen die Möglichkeit, im Falle von vorhandenen Risiken ihr Datenschutzkonzept anzupassen. Aber welche Risiken gibt es überhaupt? Eine Datenschutzfolgeabschätzung verhindert eine Reihe von möglichen Schäden, genauer gesagt einer Einschränkung der Rechte und Freiheiten Betroffener, darunter gesellschaftliche und wirtschaftliche Nachteile wie:

  • Diskriminierung
  • Rufschädigung
  • Bloßstellung
  • Finanzielle Schäden
  • Existenzgefährdung
  • Arbeitsplatzverlust
  • Identitätsdiebstahl

Diese Schäden können geringer oder höher ausfallen, sind jedoch in jedem Fall zu verhindern. Kommt es durch falsche Datenverarbeitungsvorgänge zu einem solchen Schaden für Betroffene, hat das auch negative Auswirkungen auf den Ruf und womöglich auch die Finanzen eines Unternehmens. Umso wichtiger ist es, die Verpflichtung zur Durchführung einer Datenschutzfolgeabschätzung ernst zu nehmen.

Wann ist eine Datenschutzfolgeabschätzung erforderlich?

Die Datenschutzfolgeabschätzung wird in der DSGVO in Art. 35 so beschrieben:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“

In der DSGVO werden auch Bespiele dafür genannt, wann eine DSFA durchgeführt werden muss:

  • Bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen.
  • Bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO.
  • Bei der systematischen weiträumigen Überwachung öffentlich zugänglicher Bereiche.

Die Positivlisten der Aufsichtsbehörden

Diese Angaben machen es aber immer noch recht schwierig, herauszufinden, in welchem konkreten Fall eine Datenschutzfolgeabschätzung durchzuführen ist. Zu diesem Zweck veröffentlichen die Aufsichtsbehörden der einzelnen Bundesländer sogenannte Positivlisten. Darin sind zahlreiche Verarbeitungsvorgänge aufgelistet, die eine DSFA erforderlich machen.

Hier finden Sie die Positivlisten einiger Bundesländer:

Diese Listen erheben keinen Anspruch auf Vollständigkeit, sind aber trotzdem hilfreiches Material von offizieller Seite, mit dem sich leichter herausfinden lässt, für welche Verarbeitungsvorgänge eine DSFA vorzunehmen ist. Dieses Whitepaper des Forum Privatheit liefert zusätzliche Informationen über Erforderlichkeit und Ablauf einer Datenschutzfolgeabschätzung.

Eine Datenschutzfolgeabschätzung ist alles andere als eine Seltenheit, sondern in vielen Bereichen notwendig. So wurde zum Beispiel auch für die Corona-Warn-App oder Apps von Microsoft 365 eine DSFA durchgeführt.

Wie läuft eine Datenschutzfolgeabschätzung ab?

Eine DSFA läuft immer nach dem gleichen Prinzip ab. Sie erstellen einen umfangreichen Bericht, in dem Sie

  1. die Datenverarbeitungsvorgänge in Ihrem Unternehmen beschreiben und begründen;
  2. Sie die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitungsvorgänge evaluieren;
  3. Sie die Risiken der Datenverarbeitungsvorgänge für die Rechte und Freiheiten Betroffener bewerten;
  4. Sie die Maßnahmen beschreiben, mit denen Sie diese Risiken minimiert haben;
  5. Sie beschreiben, wie Ihr Unternehmen mit noch bestehen Risiken und möglichen Sicherheitsvorfällen

Die DSFA müssen Unternehmen auf Anfrage der Aufsichtsbehörde vorlegen. Können sie das nicht oder ist die DSFA mangelhaft, droht Unternehmen ein hohes Bußgeld. Es lohnt sich also, die DSFA gewissenhaft durchzuführen. Das übernimmt im Regelfall der jeweilige Datenschutzbeauftragte.

Ein externer Datenschutzbeauftragter führt für Sie die DSFA durch

Eine Datenschutzfolgeabschätzung ist keine einmalige Sache, mit der ein Unternehmen sich nach ihrer Durchführung nicht mehr auseinandersetzen muss. Im Gegenteil: Das Datenschutzkonzept und die Verarbeitungsvorgänge in einem Unternehmen müssen regelmäßig überprüft, evaluiert und gegebenenfalls angepasst werden, um jedes Risiko auszuschließen. Außerdem können durch interne Umstrukturierungen neue Verarbeitungsvorgänge entstehen, die wiederum neue Risiken mit sich bringen. Das gilt auch für die Einführung neuer Technologien wie Cloud-Dienste. Eine Datenschutzfolgeabschätzung ist also öfter notwendig, um laufend Risiken zu minimieren und eine DSGVO-konforme Datenverarbeitung zu gewährleisten.

Das nimmt viele zeitliche und personelle Ressourcen in Anspruch. Damit Sie sich auf Ihr Kerngeschäft konzentrieren können, lohnt es sich, einen externen Datenschutzbeauftragten (DSB) zu ernennen. Dieser bringt die notwendige Expertise mit, um eine DSGVO-konforme Datenschutzfolgeabschätzung zugeschnitten auf die Verarbeitungsvorgänge in Ihrem Unternehmen durchzuführen. Anders als ein interner Datenschutzbeauftragter hat ein externer DSB außerdem die Kapazitäten, Veränderungen bei den Prozessen in Ihrem Unternehmen zu tracken, das Datenschutzkonzept entsprechend anzupassen und auf Sicherheitsvorfälle zu reagieren.

Sie sind sich nicht sicher, ob Sie eine Datenschutzfolgeabschätzung durchführen müssen? Als externer Datenschutzbeauftragter beraten wir Sie dazu und führen die DSFA falls nötig auch gleich für Sie durch.

DSGVO Verstoesse 1
VORHERIGER BEITRAG Bußgelder bei DSGVO-Verstößen
IT Sicherheitskennzeichen
NÄCHSTER BEITRAG Was ist das IT-Sicherheitskennzeichen?