Datenschutz-Folgenabschätzung

Wie riskant ist Ihre Verarbeitung?

Eine Datenschutzfolgenabschätzung (Art.35)  ist eine sehr umfangreiche Risiko-Betrachtung aller Aspekte einer Verarbeitung.

Datenschutzfolgeabschätzung - Balance halten

Dabei werden technische, organisatorische und legale Gesichtspunkte berücksichtigt. Risiken werden den Maßnahmen gegenübergestellt und gemeinsam mit Betroffenen-Meinungen ergänzt.

Wann wird eine Datenschutz-Folgenabschätzung notwendig?

  • Wenn neue Technologien eingesetzt werden, die hohe Risiken bergen
  • Umfangreiche systematische Erfassung von persönlichen Aspekten, Profiling
  • Umfangreiche Verarbeitung von besonderen Datenkategorien (zB. HR-System)
  • Neue Ergebnisse aus bestehenden Daten werden abgeleitet ( zB. BI-Reports,…)
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Pseudonomyisierung kann jeden diesen Gründe irrelevant machen, wird bisher aber nur sporadisch in Verarbeitungen zu finden sein.

Inhalt der Datenschutz-Folgenabschätzung

  • systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (-> Risikobewertung)
  • Maßnahmen die geeignet sind ein hohes Risiko zu mitigieren
  • Datum der nächsten Überprüfung

Form: schriftlich, incl. Risikobewertung, Technisch-Organisatorischen Maßn

ahmen, ggf. Statement der Betroffenen

Konsultation: Kann das Risiko nicht mitigiert werden, muss die Datenschutzbehörde konsultiert werden, die in der Norm die Verarbeitung verbieten wird, bis geeignete Maßnahmen getroffen werden.

Ausnahmen

Die Datenschutzbehörde erstellt eine Whitelist (Art 35 Abs 5) und eine Blacklist (Art 35 Abs 4).

Datenschutzfolgeabschätzung - Ja oder Nein? Übersicht

In der Whitelist eingetragene Verarbeitungen sind von der Pflicht einer Datenschutzfolgenabschätzung befreit. Darin befinden sich klassische „Standard-Verarbeitungen“ wie Personalverwaltungs- oder ERP-System.

In der Blacklist eingetragene Verarbeitungen müssen auf jeden Fall eine Datenschutzfolgenabschätzung durchführen, egal welches Ergebnis die individuelle Risikoabschätzung des Verantwortlichen hat.  Produkte die sich auf dieser Liste befinden sollten den Kunden unbedingt bereits bei Angebotslegung eine Unterlage dazu beistellen.

erstellt von