Argana Consulting GmbH 
Lasst uns lieber darüber reden, wie sich die Probleme lösen lassen.

DSFA Datenschutzfolgenabschätzung

Die Datenschutzfolgenabschätzung (DSFA) ist ein Prozess, der im Unternehmen durchgeführt wird, um die Auswirkungen von geplanten Verarbeitungsvorgängen personenbezogener Daten auf die Datenschutzrechte und -freiheiten von betroffenen Personen zu bewerten und zu minimieren. Die DSFA ist ein wichtiges Instrument im Rahmen der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, insbesondere bei Verarbeitungsvorgängen, die ein hohes Risiko für die Datenschutzrechte von Personen darstellen.

Die DSFA beinhaltet eine systematische Prüfung von verschiedenen Faktoren, wie beispielsweise Art, Umfang, Zweck und Kontext der Verarbeitung, die Art der betroffenen personenbezogenen Daten, die Anzahl der betroffenen Personen sowie die Dauer der Verarbeitung. Auf dieser Grundlage sollen Risiken für die Rechte und Freiheiten der betroffenen Personen ermittelt werden. Dazu gehört auch, dass geprüft wird, welche technischen und organisatorischen Maßnahmen getroffen werden können, um die Risiken zu minimieren und die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Die DSFA ist nicht nur eine Verpflichtung der DSGVO, sondern auch ein wichtiger Bestandteil eines effektiven Datenschutzmanagements. Sie hilft Unternehmen, Risiken frühzeitig zu erkennen und geeignete Maßnahmen zu ergreifen, um Datenschutzverletzungen zu vermeiden oder zu minimieren.

Der Prozess der Datenschutzfolgenabschätzung (DSFA), die Richtlinien und Arbeitsanweisungen sind Teil der DSMS Datenschutz-Management-Systems und in diesem zu dokumentieren. Es empfiehlt sich, die Datenschutzfolgenabschätzung (DSFA) und der Strukturanalyse und Schutzbedarfsfeststellung aus dem ISMS Informations-Sicherheits-Management-System abzustimmen. 

Zur Unterstützung für die Durchführung der Datenschutzfolgenabschätzung (DSFA) gibt es, je nach Staaten unterschiedliche Dokumente:

  • WP 248 Rev. 01 - Leitlinien zur Datenschutz-Folgenabschätzung (DSFA)
  • Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V) - Österreich
  • Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO - Deutschland
  • Liste der Verarbeitungstätigkeiten, offizielles Kurzpapier der DSK - Deutschland

 

DSFA Vorabkontrolle (Vorprüfung)

Die Vorabkontrolle (auch Vorprüfung genannt) ist ein wichtiger Schritt im Rahmen der Datenschutzfolgenabschätzung (DSFA), der im Unternehmen durchgeführt wird, um zu beurteilen, ob eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt. Die Vorabkontrolle ist insbesondere dann erforderlich, wenn die geplante Verarbeitung in großem Umfang stattfindet oder sensible personenbezogene Daten betrifft.

Während der Vorabkontrolle prüfen die Unternehmen, ob die geplante Verarbeitung mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und anderen geltenden Datenschutzbestimmungen übereinstimmt. 

Die Ergebnisse der Vorabkontrolle fließen dann in die eigentliche DSFA ein und helfen bei der Bestimmung der Risiken, die mit der geplanten Verarbeitung verbunden sind, sowie bei der Auswahl geeigneter Maßnahmen, um diese Risiken zu minimieren.


Ablaufplan der DSFA Datenschutzfolgenabschätzung

Der Ablaufplan für eine Datenschutzfolgenabschätzung (DSFA) umfasst in der Regel die folgenden Schritte

  • Bestimmung der Verantwortlichen: Identifizieren Sie die Person oder Organisation, die für die geplante Verarbeitung personenbezogener Daten verantwortlich ist.
  • Beschreibung des Vorhabens: Beschreiben Sie das Vorhaben oder die geplante Verarbeitung personenbezogener Daten, einschließlich der Art und des Zwecks der Verarbeitung sowie der Art der betroffenen personenbezogenen Daten.
  • Identifizierung der Risiken: Identifizieren Sie die Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind, einschließlich der möglichen Auswirkungen auf die betroffenen Personen.
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit: Bewerten Sie die Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitung personenbezogener Daten und stellen Sie sicher, dass die Verarbeitung im Einklang mit den Datenschutzprinzipien der DSGVO steht.
  • Evaluierung von Maßnahmen: Evaluieren Sie Maßnahmen zur Risikominimierung, wie z.B. technische und organisatorische Maßnahmen, um sicherzustellen, dass angemessene Sicherheitsmaßnahmen implementiert werden, um das Risiko für betroffene Personen zu minimieren.
  • Konsultation der Aufsichtsbehörde: Konsultieren Sie die zuständige Datenschutzaufsichtsbehörde, falls erforderlich, um Unterstützung bei der Durchführung der DSFA zu erhalten oder die Ergebnisse der DSFA zu überprüfen.
  • Dokumentation: Dokumentieren Sie alle Schritte und Ergebnisse der DSFA sowie die Gründe für die getroffenen Entscheidungen.
  • Überprüfung und Aktualisierung: Überprüfen Sie regelmäßig die Ergebnisse der DSFA und aktualisieren Sie diese, falls sich die Umstände oder das Risikoprofil der Verarbeitung ändern.

 

Der genaue Ablaufplan kann je nach Art und Umfang der geplanten Verarbeitung personenbezogener Daten variieren. Es ist jedoch wichtig sicherzustellen, dass alle erforderlichen Schritte zur Gewährleistung eines angemessenen Datenschutzniveaus und zum Schutz der Rechte und Freiheiten der betroffenen Personen durchgeführt werden.

 

Download der Leitlinie zur Datenschutz-Folgenabschätzung
Deutsche Fassung
Leitlinien zur Datenschutz-Folgenabschaetzung-wp248-rev-01_de.pdf (1.11MB)
Download der Leitlinie zur Datenschutz-Folgenabschätzung
Deutsche Fassung
Leitlinien zur Datenschutz-Folgenabschaetzung-wp248-rev-01_de.pdf (1.11MB)