Verstehen Sie Ihre Risiken

Datenschutz-Folgenabschätzungen

2B Advice DSFA bietet eine Folgenabschätzung für eine Organisation, Produkte, internationale Datenübertragungen oder neue Technologien, um Risiken für die Einhaltung des Datenschutzes innerhalb der Organisation zu ermitteln und zu mindern.

Die Hauptgründe, warum sich über 15.000 Mandanten für 2B Advice entscheiden

Zufriedenheit garantiert

Wir werden Sie nicht enttäuschen

100%

Anpassbar

1,000

Erfolgreiche Projekte

35

Länder abgedeckt

Ihre Bedürfnisse gelöst

… anstatt nur ein Stück Software

450

Datenschutzbeauftragte

IT-Sicherheit

Nicht nur Datenschutz

26,000

Verarbeitungstätigkeiten

Einzigartiges Know-how

Wir begleiten Sie von A bis Z

45,000

Absolvierte Schulungen

20

Jahre im Geschäft

Seit 2003

Wir gehören zu den Anbietern mit der längsten Erfahrung am Markt.

Internationales Team

Unsere Datenschutz-Expertise ist länderübergreifend und wir arbeiten international.

Gartner

2B Advice wurde in vier verschiedenen Gartner 2022 Hype Cycle als Sample Vendor für ‘Privacy Impact Assessment’ benannt;Cyber Risk Management, Data Security, Privacy, Legal and Compliance Technologies

Top 5% Arbeitgeber

Erhielt die prestigeträchtige Auszeichnung von kununu, einer der führenden europäischen Plattformen für Arbeitgeberbewertungen.

ISO-19011

Zertifizierter Prüfer

Gold Member

IAPP-Unternehmensmitglied in Gold

ISO-zertifiziert

2B Advice ist ISO/IEC 27001:2017 zertifiziert

CIPP

Zertifizierte Datenschutzbeauftragte

Datenschutz-Folgenabschätzung für Ihr Unternehmen

Die Datenschutz-Grundverordnung und andere Datenschutzvorschriften verpflichten Unternehmen zur Durchführung einer Folgenabschätzung, um die Risiken ihrer Datenverarbeitungstätigkeiten zu bewerten.

Sie wollen wissen, wo Ihr Unternehmen gefährdet ist und wie Sie das Problem lösen können.

Die Datenschutz-Folgenabschätzung Organisation hilft Ihnen, Risiken für die Einhaltung des Datenschutzes im Unternehmen zu erkennen und zu minimieren.

Folgenabschätzung der Cloud-Migration

Die Umstellung auf die Cloud kann eine Herausforderung sein. Sie möchten den größtmöglichen Nutzen aus Ihrer Migration ziehen, aber auch sicherstellen, dass Sie Ihre Daten nicht gefährden.

Was sind die Risiken der Migration? Wie kann ich sie abmildern?

Die Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA) ist ein Instrument, das Ihnen hilft, Risiken vor, während und nach Ihrer Cloud-Migration zu erkennen und zu bewältigen.

Datenschutz bei der grenzüberschreitenden Übermittlung von Daten

Datenschutz ist ein immer wichtigeres Thema, und dabei geht es nicht nur um den Schutz der Privatsphäre.

Eine Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist ein Mechanismus zur Bewertung der Datenschutzrisiken bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU, um Organisationen bei der Entscheidung zu helfen, ob sie die zusätzlichen Anforderungen der Datenschutz-Grundverordnung erfüllen müssen.

Wir bieten einen DPIA-Service an, der Ihnen hilft, Ihre Pflichten zu verstehen und die Einhaltung der Gesetze zu gewährleisten.

Datenschutz-Folgenabschätzung vor der Markteinführung eines Produkts oder eines anderen Datenverarbeitungsvorgangs

Die Datenschutz-Folgenabschätzung ist ein Prozess, der die Risiken und Chancen der Datenverarbeitung bewertet.

Die Einführung eines neuen Produkts oder einer neuen Dienstleistung kann riskant sein, vor allem, wenn dabei personenbezogene Daten erhoben werden.

Eine Datenschutz-Folgenabschätzung hilft Ihnen, die Risiken und Chancen zu verstehen, bevor Sie Ihr Produkt auf den Markt bringen, und gleichzeitig die Compliance-Verpflichtungen Ihres Unternehmens zu erfüllen.

Eine Datenschutz-Folgenabschätzung (DPIA) ist ein Instrument zur Identifizierung und Abschwächung von Risiken für personenbezogene Daten. Sie untersucht die Verarbeitung personenbezogener Daten, identifiziert die Risiken für die verarbeiteten Personen und prüft, wie diese Risiken gemindert werden können. Eine Datenschutz-Folgenabschätzung sollte durchgeführt werden, bevor eine neue Verarbeitung stattfindet oder wesentliche Änderungen an einer bestehenden Verarbeitung vorgenommen werden.

Nein, in der DSGVO sind keine Vorlagen vorgesehen. Eine Datenschutz-Folgenabschätzung sollte auf Ihre spezifischen Umstände zugeschnitten sein.

Die benötigte Zeit hängt vom Umfang und der Komplexität der Datenverarbeitungstätigkeiten und dem Fluss personenbezogener Daten in Ihrer Organisation ab.

Der Zweck einer DSFA besteht darin, Organisationen dabei zu helfen, fundierte Entscheidungen bei der Einführung neuer Technologien und Systeme zu treffen, indem sie ihnen einen Überblick über die potenziellen Risiken verschafft. Sobald eine Organisation diese Risiken versteht, kann sie Schritte unternehmen, um zusätzliche Kontrollen oder Schutzmaßnahmen zu implementieren, um die Auswirkungen auf die Privatsphäre der Menschen zu verringern. Organisationen können die DSFA-Dokumentation auch als Nachweis für die Einhaltung von Vorschriften wie der Allgemeinen Datenschutzverordnung verwenden.

Ziel einer PIA ist es, das Risiko von Schäden durch Projekte, Programme, Strategien und Technologien zu minimieren, indem die folgenden Schritte durchlaufen werden:

  • Identifizierung von Bedrohungen
  • Verstehen der Wahrscheinlichkeit, dass diese Bedrohungen eintreten werden
  • Bewertung, ob wir diese Bedrohungen abmildern können und was dafür erforderlich ist
  • Beseitigung der verbleibenden Bedrohungen.

Von der Datenschutz-Folgenabschätzung werden Personen betroffen sein, die mit dem Projekt in Verbindung stehen. Dazu können Kunden, Kollegen, Partner und andere gehören. Der Erfolg des Projekts hängt von der Akzeptanz all dieser Personen ab. Sie müssen dem Projekt zustimmen oder davon profitieren.

Wenn Sie die Datenschutz-Folgenabschätzung für ein Projekt erstellen, benötigen Sie alle relevanten Informationen über das Projekt. Dazu gehören zum Beispiel

  • Die Ziele des Projekts
  • Die Arten von Datenkategorien, die verwendet werden sollen
  • Welche Methoden werden verwendet?
  • Die mit dem Projekt verbundenen Risiken
  • Wann werden die Daten gelöscht?
  •  Die Nutzungsbedingungen, die bei der Datenerhebung erforderlich sein können
  • Das Verhalten der Mitarbeiter und Angestellten in Bezug auf den Datenschutz im Einklang mit der Unternehmenspolitik

Anmeldung zum Newsletter

Datenschutz-Updates und Neuigkeiten wöchentlich in Ihrem Posteingang

Unsere Kunden

DSGVO-Richtlinien entsprechen mit einer Datenschutz-Folgenabschätzung


Gemäß Artikel 35 Datenschutz-Grundverordnung (DSGVO) muss eine Verarbeitung personenbezogener Daten, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, vor Beginn der Verarbeitung einer Bewertung der Auswirkungen unterzogen werden, die solche Verarbeitungsvorgänge auf den Schutz personenbezogener Daten haben können.


Diese Bewertung wird als Datenschutz-Folgenabschätzung (DSFA) bezeichnet. Es liegt allein in der Verantwortung Ihrer Organisation, eine DSFA durchzuführen. Szenarien, in denen eine Datenschutz-Folgenabschätzung durchgeführt werden muss, sind solche, in denen neue Technologien eingesetzt werden, in denen große Datenmengen oder/und besondere Datenkategorien verarbeitet werden oder in denen es um Überwachung und Profilerstellung geht.

 

Gegebenenfalls ist der Ort einer Verarbeitung ausschlaggebend dafür, ob die DSFA gemäß den Black lists /White lists der lokalen Datenschutzaufsichtsbehörde durchgeführt werden muss oder nicht.

 

Ziel der Datenschutz-Folgenabschätzung (DSFA)


Die Datenschutz-Folgenabschätzung wird ausschließlich für eine einzelne und spezifische Verarbeitungstätigkeit durchgeführt, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, auch betroffene Personen genannt, zur Folge haben könnte.

Ziel der Datenschutz-Folgenabschätzung ist es, potenziell hohe Risiken für die betroffenen Personen vor Beginn der Verarbeitung zu ermitteln und zu quantifizieren. Da es sich um ein Element der DSGVO handelt, deren wichtigstes Ziel die Wahrung der Rechte und Freiheiten der betroffenen Personen ist, berücksichtigt die Datenschutz-Folgenabschätzung nicht die Risiken, denen die Organisation ausgesetzt sein könnte.

Lösung der Datenschutz-Folgenabschätzung (DSFA)

 

Eine DSFA sollte vor Beginn der Verarbeitung oder in der Entwurfsphase einer neuen Technologie und danach in regelmäßigen Abständen (Audit) durchgeführt werden.

  • Arbeiten Sie mit dem Expertenteam von 2B Advice zusammen, um die für Ihre Situation spezifischen Umstände zu analysieren
  • Profitieren Sie von einer externen Sichtweise bei der Identifizierung von Risiken
  • Zusammenarbeit mit dem Team von 2B Advice zur Anpassung unserer Methodik an Ihr Unternehmen
  • Entwickeln Sie einen internen Prozess für die Durchführung einer DSFA in der Zukunft.

 

Vorteile der Datenschutz-Folgenabschätzung (DSFA)

 

  • Risikominimierung für die Organisation und die betroffenen Personen mit der Folge, dass das Vertrauen der Betroffenen und von Stakeholdern wächst
  • Praktische Demonstration der Verantwortlichkeit und Umsetzung der Rechenschaftspflicht
  • Verstärktes Bewusstsein für den Datenschutz auf allen Ebenen der Organisation

 

Datenschutzfolgenabschätzung (DSFA): Was ist zu tun?

 

Rechtsgrundlagen der DSFA in der DSGVO

 

Vielen Verantwortlichen in Unternehmen ist noch immer nicht klar, dass sie im Rahmen der DSGVO regelmäßig dazu verpflichtet sind eine Datenschutzfolgenabschätzung (DSFA) durchzuführen.

Kaum einer weiß jedoch, wann eine DSFA fällig ist oder worauf es bei einer DSFA ankommt.

Muss eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden?


Nach Artikel 35(4) DSGVO hat die Datenschutzkonferenz (DSK) die sog. „Muss-Liste“ herausgegeben. Die Muss-Liste beschreibt die Datenverarbeitungen, für die eine DSFA durchgeführt werden muss. Weitere Hinweise finden sich auch in Artikel 35(3). Zum Beispiel muss eine DSFA durchgeführt werden, wenn eine systematische umfangreiche Überwachung öffentlicher Bereiche (z. B. Videoüberwachung an Tankstellen, Einkaufszentren oder ähnlichem) vorliegt. Auch bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten (z. B. medizinische Daten in Gemeinschaftspraxen, Personaldaten insbesondere Religionszugehörigkeit bei Steuerberatern o. ä.) und systematischer und umfassender Bewertung von Personen (z. B. Profiling) ist eine DSFA durchzuführen.

Wichtig! Man sollte auch die Entscheidungsfindung, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss, dokumentieren.

Worauf kommt es bei der DSFA an?

Wenn Sie dazu verpflichtet sind eine DSFA durchzuführen, dann sollte Folgendes beachtet werden.

 

  1. Nach §67 Abs. 3 BDSG 2018 muss der Datenschutzbeauftragte (DSB) bei einer DSFA einbezogen werden. Wichtig! Sollte man keinen Datenschutzbeauftragten haben, dann muss spätestens jetzt ein externer oder interner DSB benannt werden.
  2. Verarbeitungsvorgänge müssen systematisch beschrieben werden.
  3. Der Zweck der Verarbeitung muss benannt werden.
  4. Die Rechtsgrundlage der Datenverarbeitung bestimmen.
  5. Die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitung muss bewertet werden.
  6. Die Risiken für die Rechte und Freiheiten der betroffenen Personen müssen bewertet werden. Wichtig! Hier stehen die Betroffenen im Mittelpunkt und nicht das Unternehmen.
  7. Geeignete technische und organisatorische Maßnahmen (TOM) müssen festgelegt werden, um die Risiken abzumildern und so dem Schutzbedarf der betroffenen Personen zu entsprechen.


Nachdem Sie die DSFA abgeschlossen haben und geeignete technische und organisatorische Maßnahmen getroffen haben, sollte deren Wirksamkeit durch eine jährliche Überprüfung bestätigt werden. Hierzu bietet sich ein jährliches Audit an, bei dem die Einhaltung der technischen und organisatorischen Maßnahmen überprüft wird.

Bedenken Sie, dass bei einer Veränderung der Rahmenbedingungen der zugrundeliegenden Verarbeitung gegebenenfalls eine neue DSFA durchgeführt werden muss.

Sollten Sie Hilfestellung bei der Durchführung einer Datenschutz-Folgenabschätzung benötigen oder möchten Sie die Datenschutz-Folgenabschätzung gleich auslagern, dann sprechen Sie uns gerne an.

Wir unterstützen unsere Mandanten regelmäßig bei der Durchführung einer DSFA gemäß Artikel 35 DSGVO und §67 BDSG.


Dabei spielt es für uns keine Rolle, ob wir Sie auf Grundlage eines Mandats als externer Datenschutzbeauftragter begleiten oder im Rahmen eines speziellen Projektes zur DSFA beraten und unterstützen.