Datenschutz-Folgenabschätzung: gesetzliche Pflicht mit wichtigem Mehrwert

Die Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument, das mögliche Risiken und Folgen der Verarbeitung personenbezogener Daten aufdeckt. Unternehmen und Organisationen müssen die DSFA bereits vor der eigentlichen Datenverarbeitung durchführen. Neben der Risikoerkennung und dem Schutz von betroffenen Personen bringt die DSFA weitere Vorteile mit sich, die auf den ersten Blick weniger ersichtlich sind.

Die Datenschutz-Folgenabschätzung (DSFA) gehört zu den Pflichten und Anforderungen aus der DS-GVO. Viele Unternehmen meiden die DSFA jedoch, weil diese vermeintlich kompliziert ist oder keine Zeit besteht. Dabei hilft dieses Instrument Unternehmen, Erkenntnisse zu erzielen, die neben den datenschutzrechtlichen Aspekten einen erheblichen Mehrwert an Wissen über die eigene Resilienz, die IT-Architektur und die Souveränität der Datenhaltung bieten.

Die Durchführung einer DSFA ist für Unternehmen weit mehr als die Erfüllung einer gesetzlichen Pflicht. Sie dient als proaktives Instrument, um mittels ihrer zusätzlichen Betrachtungspunkte ein weitreichenderes Risikoinstrument zur Bedrohungserkennung, deren Vermeidung und Bewältigung zu schaffen.

Sicherheitsgewinn durch Risikominimierung

Die DSFA zwingt Unternehmen dazu, potenzielle Datenschutzrisiken in Bezug auf personenbezogene Daten sowie andere sensible Unternehmensdaten zu identifizieren. Unternehmen befassen sich somit bereits im Vorfeld mit der Bewältigung dieser Risiken. Dafür werden geeignete und vor allem wirksame technische und organisatorische Maßnahmen ergriffen.

Was sind die Inhalte einer Datenschutz-Folgenabschätzung?

Beschreibung der Verarbeitungstätigkeit

• Zweck und Arten der Daten, die verarbeitet werden (Personenkategorien und Datenkategorien)
• Arten von Datenempfängern und Staaten, in denen die Verarbeitung stattfindet bzw. Daten gehalten werden

Risikobewertung

• Identifikation möglicher Bedrohungen (technisch, organisatorisch, vertraglich oder gesetzliche)
• Bewertung der Eintrittswahrscheinlichkeit und des zu erwartenden Schadens
• Auswirkungen auf die Personen, deren Daten betroffen sind

Risikobehandlung

• Festlegung möglicher Gegenmaßnahmen und Entgegenwirken auf die Bedrohung / Risiken
• Neubewertung der Risiken nach Umsetzung der Maßnahmen

Vorgehen bei der DSFA: Prozesse kennen, optimieren und effizienter gestalten

Für die erfolgreiche Durchführung einer Datenschutz-Folgenabschätzung (DSFA) muss die Organisation all ihre Verarbeitungsvorgänge, Datenströme, die IT-Architektur und die Systemzusammenhänge sowie die Anwender (-gruppen) kennen. Kennt man diese Aspekte, fällt auch die Prüfung nicht mehr so schwer.

Die DSFA erleichtert die Entscheidung, inwiefern die Verarbeitung personenbezogener Daten zweckmäßig, notwendig und/oder verhältnismäßig ist. Resultierende Maßnahmen aus der DSFA können zur Datenminimierung führen und unnötige, teure und/oder risikoreiche Verarbeitungsschritte eliminieren.

Die Entscheiderebene im Unternehmen hat so eine fundierte Entscheidungsgrundlage. Anhand der DSFA können Unternehmen strukturiert über die Einführung neuer, risikoträchtiger Technologien (wie z. B. KI, Profiling-Tools, Videoüberwachung u. ä.) oder den Fortbestand vorhandener Technologien und IT-Systeme entscheiden oder diese durch weniger risikobehaftete Systeme ersetzen.

Welche konkreten Schritte sollten Unternehmen und Organisationen bei der Durchführung einer Datenschutz-Folgenabschätzung beachten?

Vorbereitung

1. Zusammenstellung des DSFA-Teams
2. Prüfplanung
3. Festlegung des Beurteilungsumfangs (Scope)
4. Identifikation und Einbindung von Akteuren und betroffenen Personen
5. Bewertung der Notwendigkeit / Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf ihren Zweck
6. Identifikation der Rechtsgrundlagen

Durchführung

1. Modellierung der Risikoquellen
2. Risikobeurteilung
3. Auswahl geeigneter Abhilfemaßnahmen
4. Erstellung des DSFA-Berichts

Umsetzung

1. Umsetzung der Abhilfemaßnahmen
2. Test der Abhilfemaßnahmen
3. Dokumentation & Nachweis über die Einhaltung der DS-GVO
4. Freigabe der Verarbeitungsvorgänge

Überprüfung

1. Ggf. zyklische Überprüfung und Audit der DSFA
2. Fortschreibung

Erfüllung von Rechenschaftspflichten

Mit der Erstellung einer Datenschutz-Folgenabschätzung kommen Unternehmen ihren gesetzlichen Pflichten aus der DS-GVO und anderen Normen (z. B. ISO 27001) oder Vertragsregelungen nach.

Zur Erstellung von DSFAs eignet sich das Datenschutz-Management-Tool EDIRA. Mit EDIRA führen Sie die Datenschutz-Folgenabschätzung einfach, schnell und strukturiert durch und sparen dabei wertvolle Ressourcen, während Sie höchste Compliance sichern. Mit EDIRA können Sie Bedrohungen und Risiken effizient bewerten, erforderliche technische und organisatorische Maßnahmen (TOMs) und die notwendige Dokumentation erstellen.

Gerne stehen wir Ihnen auch mit unserem Know-how zum Datenschutz und der Informationssicherheit zur Seite, um diese Aufgaben zu bewältigen.

Fazit: Vertrauensbildung, Einhaltung gesetzlicher Pflichten und Risikominimierung durch DSFA

Die DSFA gehört zum proaktiven Datenschutz und dient als Nachweis der Einhaltung der Pflichten zum Schutz personenbezogener Daten und anderer Unternehmensinformationen. Durch eine angemessene Kommunikation und Dokumentation nach außen kann in der Regel eine positive Differenzierung gegenüber Wettbewerbern erreicht werden.

Neben der rechtlichen Notwendigkeit ist die Datenschutz-Folgenabschätzung noch mehr eine geschäftliche Notwendigkeit. Sie ist ein Werkzeug, das die Sicherheit, Compliance und Qualität von Geschäftsprozessen signifikant verbessert und das Risiko von Datenschutzverstößen erheblich reduziert.