Was eine DSFA ist

Begriff, Beispiele, Durchführung

Schon der Name jagt einem Respekt ein: Datenschutzfolgeabschätzung. Bei diesem Wortungetüm sind sich viele unsicher, was damit gemeint ist oder – falls sie es wissen – wann eine DSFA durchzuführen ist. Beides wollen wir hier beantworten.

Eine Datenschutzfolgeabschätzung ist im Grunde nichts Anderes als eine Risikobewertung. Damit ist ihr Zweck schon besser greifbar und kann im Hinblick auf die DSGVO auf ein paar simple Fragen reduziert werden:

  • Darf ich das überhaupt?
  • Welche Gefahren drohen?
  • Wie kann ich es machen?
  • Was kann passieren?
  • Wem kann das schaden?

Mit diesen Fragen ist es viel leichter, sich dem Thema DSFA zu nähern. Wenn eine Datenverarbeitung sowieso verboten ist, hat sie zu unterbleiben und man braucht sich keine weiteren Gedanken machen. Ist die Datenverarbeitung erlaubt, muss man sich im Vorfeld die Risiken und Gefahren bewusst machen und eine Risikobewertung erstellen – eine Datenschutzfolgeabschätzung.

Wann eine DSFA durchzuführen ist

Vielen ist nicht klar, wie schnell man in den Verpflichtungsbereich zur Durchführung einer DSFA kommt: Sobald beispielsweise eine Videoüberwachung erfolgt (am Arbeitsplatz, im Restaurant, im Eingangsbereich des Unternehmens…), müssen Sie eine DSFA durchführen und Personen auf die Überwachung hinweisen.

Der Art. 35 Abs. 1 DSGVO besagt, dass eine Datenschutzfolgeabschätzung immer dann durchzuführen ist, wenn „ (…) eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge (hat)“.

Beispiele für die Durchführungspflicht

Wenn Sie systematisch und umfangreich persönliche Aspekte natürlicher Personen bewerten, sensible Daten (z.B. Religion, sexuelle Vorlieben, Gesundheitsdaten) oder Daten über Straftaten u. Ä. verarbeiten oder – wie oben angeführt – öffentlich zugängliche Bereiche systematisch überwachen, dann müssen Sie eine DSFA durchführen.

Was noch recht schwammig klingt, wollen wir mit ein paar praktischen Beispielen leichter verständlich machen:

  • Wenn Sie Maßnahmen zu Bewertung oder Beurteilung der Kreditwürdigkeit oder des Gesundheitszustandes durchführen, ist eine DSFA durchzuführen.
  • Sie verwalten Patientendaten oder Daten von besonders schutzwürdigen Personen (Arbeitnehmer, Kinder, Patienten, Flüchtlinge und Schutzsuchende, Senioren)? DSFA!
  • Sie sind eine Technologievorreiter und verwenden moderne Technologien (Fingerprint- oder Face Scan) zur Zutrittskontrolle? Dann müssen Sie eine Datenschutzfolgeabschätzung durchführen.

In der Praxis ist es für die Verantwortlichen aber sicher interessanter zu wissen, wann KEINE Datenschutzfolgeabschätzung durchzuführen ist. Auskunft darüber gibt Ihnen die Whitelist der Datenschutzbehörde.

Im Zweifel ist es sicher klüger, trotz des höheren Aufwands eine DSFA zu erstellen, zumal Sie – wie eingangs erwähnt – eine hilfreiche Risikobewertung darstellt. Wenn man sich aber dazu entscheidet, sollte man seine DSFA auch laufend auf Aktualität prüfen, denn Verarbeitungsvorgänge ändern sich mit der Zeit und damit auch die Risiken, was eine  Neubewertung nötig macht.

Wie macht man eine Datenschutzfolgeabschätzung?

Das Netz ist voll mit Vorlagen für eine Datenschutzfolgeabschätzung – ob diese DSGVO-konform und aktuell sind, sei dahingestellt. Auch muss man prüfen, ob die Vorlagen sich für die eigene Situation eignen. Dazu kommt, dass man Daten aus anderen Quellen wie etwa dem Verarbeitungsverzeichnis der den TOM (Technische und organisatorische Maßnahmen) einfließen lassen muss.

Was liegt da näher als eine umfassende Lösung für das gesamte Thema Datenschutz? Unser DATA PROTECTR ist das perfekte Tool dafür – die Funktionen umfassen etwa

  • Vollumfassendes Verarbeitungsverzeichnis, Vorlagen für viele Verarbeitungen, integrierte Rechtsgrundlagen
  • Datenschutzfolgenabschätzung evaluieren und dokumentieren
  • Elektronische und physische Datenspeicherung inkl. IT-Serviceverwaltung und Risikobewertung bei Bedarf
  • Rechtssicheres Datenschutzprotokoll inkl. Dokumentation von Betroffenenanfragen und Protokollierung von Datenschutzvorfällen
  • Automatische Erinnerung bei Versäumnissen und Eskalation an Verantwortliche im Bedarfsfall
  • Verwaltung von Mandanten, Benutzern, Dokumenten sowie Individualisierung aller Prozesse

Mit Data PROTECTR Enterprise haben Sie eine Datenschutzsoftware, die das notwendige Verarbeitungsverzeichnis sowie alle Prozesse rund um das Thema Datenschutz verwaltet.

Informieren und überzeugen Sie sich mit einem Testzugang von den Vorteilen, die unsere Datenschutzsoftware bietet!