2B Advice
TEL: +49 (228) 926165100
FREE DOWNLOAD
Datenschutz Blog

Datenschutzfolgenabschätzung (DSFA): Was ist zu tun?

Rechtsgrundlagen der DSFA in der DSGVO

Vielen Verantwortlichen in Unternehmen ist noch immer nicht klar, dass sie im Rahmen der DSGVO regelmäßig dazu verpflichtet sind eine Datenschutzfolgenabschätzung (DSFA) durchzuführen.

Kaum einer weiß jedoch, wann eine DSFA fällig ist oder worauf es bei einer DSFA ankommt.

Muss eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden?

Nach Artikel 35(4) DSGVO hat die Datenschutzkonferenz (DSK) die sog. „Muss-Liste“ herausgegeben. Die Muss-Liste beschreibt die Datenverarbeitungen, für die eine DSFA durchgeführt werden muss. Weitere Hinweise finden sich auch in Artikel 35(3). Zum Beispiel muss eine DSFA durchgeführt werden, wenn eine systematische umfangreiche Überwachung öffentlicher Bereiche (z. B. Videoüberwachung an Tankstellen, Einkaufszentren oder ähnlichem) vorliegt. Auch bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten (z. B. medizinische Daten in Gemeinschaftspraxen, Personaldaten insbesondere Religionszugehörigkeit bei Steuerberatern o. ä.) und systematischer und umfassender Bewertung von Personen (z. B. Profiling) ist eine DSFA durchzuführen.

Wichtig! Man sollte auch die Entscheidungsfindung, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss, dokumentieren.

Worauf kommt es bei der DSFA an?

Wenn Sie dazu verpflichtet sind eine DSFA durchzuführen, dann sollte Folgendes beachtet werden.

  1. Nach §67 Abs. 3 BDSG 2018 muss der Datenschutzbeauftragte (DSB) bei einer DSFA einbezogen werden.
    Wichtig! Sollte man keinen Datenschutzbeauftragten haben, dann muss spätestens jetzt ein externer oder interner DSB benannt werden.
  2. Verarbeitungsvorgänge müssen systematisch beschrieben werden.
  3. Der Zweck der Verarbeitung muss benannt werden.
  4. Die Rechtsgrundlage der Datenverarbeitung bestimmen.
  5. Die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitung muss bewertet werden.
  6. Die Risiken für die Rechte und Freiheiten der betroffenen Personen müssen bewertet werden.
    Wichtig! Hier stehen die Betroffenen im Mittelpunkt und nicht das Unternehmen.
  7. Geeignete technische und organisatorische Maßnahmen (TOM) müssen festgelegt werden, um die Risiken abzumildern und so dem Schutzbedarf der betroffenen Personen zu entsprechen.

Nachdem Sie die DSFA abgeschlossen haben und geeignete technische und organisatorische Maßnahmen getroffen haben, sollte deren Wirksamkeit durch eine jährliche Überprüfung bestätigt werden. Hierzu bietet sich ein jährliches Audit an, bei dem die Einhaltung der technischen und organisatorischen Maßnahmen überprüft wird.

Bedenken Sie, dass bei einer Veränderung der Rahmenbedingungen der zugrundeliegenden Verarbeitung gegebenenfalls eine neue DSFA durchgeführt werden muss.

Sollten Sie Hilfestellung bei der Durchführung einer Datenschutz-Folgenabschätzung benötigen oder möchten Sie die Datenschutz-Folgenabschätzung gleich auslagern, dann sprechen Sie uns gerne an.

Wir unterstützen unsere Mandanten regelmäßig bei der Durchführung einer DSFA gemäß Artikel 35 DSGVO und §67 BDSG.

Dabei spielt es für uns keine Rolle, ob wir Sie auf Grundlage eines Mandats als externer Datenschutzbeauftragter begleiten oder im Rahmen eines speziellen Projektes zur DSFA beraten und unterstützen.

Ähnliche Blog-Beiträge

Was sind die Kosten eines externen Datenschutzbeauftragten? Was sind die Kosten eines externen Datenschutzbeauftragten?

Was kosten eigentlich externe Datenschutzbeauftragte? Dieser Frage sind wir nachgegangen und haben eine Aufstellung zusammengestellt

Automatisierung der DSGVO- und CCPA-Compliance Automatisierung der DSGVO- und CCPA-Compliance

DSGVO- & CCPA-Compliance können mit Datenschutz-Software automatisiert werden. Wie das mit unserem Tool funktioniert, erklären wir in diesem Artikel

Datenschutzauskunft: Welche Informationen muss ich herausgeben? Datenschutzauskunft: Welche Informationen muss ich herausgeben?

Welche Informationen muss ein Unternehmen gem. Art. 15 DSGVO herausgeben? Wie verfahre z. B. ich bei Auskunftsersuchen durch Arbeitnehmer?

ALLE BLOG-BEITRÄGE IN DIESER KATEGORIE ANSCHAUEN

Blog-Kategorien

Haben Sie Fragen an uns?

KONTAKT

2B Advice GmbH
Joseph-Schumpeter-Allee 25
53227 Bonn

Tel: +49 (228) 926 165-100
Email: info@2b-advice.com

Bitte geben Sie das folgende CAPTCHA ein, um Missbrauch zu verhinden:

Ein anderes Bild
Danke, dass Sie uns kontaktiert haben!