Gratis
14. November 2017 - Datenschutz-Grundverordnung

Datenschutz-Folgenabschätzung: Wann und wie umsetzen?

In der neuen Datenschutz-Grundverordnung ersetzt die Datenschutz-Folgenabschätzung die Vorabkontrolle, die bisher im Bundesdatenschutzgesetz (BDSG) verankert war. Jetzt gibt es eine lesbare Praxishilfe zu diesem Thema.

Wann ist eine Datenschutz-Folgeabschätzung notwendig? Bisher gibt es keine Praxiserfahrungen mit der Datenschutz-Folgeabschätzung. Die GDD hat nun eine Arbeitshilfe veröffentlicht. (Bild: BeeBright / iStock / Thinkstock)

Die Gesellschaft für Datenschutz und Datensicherheit e. V. (GDD) veröffentlicht im Rahmen der Einführung der Datenschutz-Grundverordnung eine ganze Reihe von Praxishilfen.

Diese sollen Unternehmen und den Datenschutzbeauftragten helfen, sich ab Mai 2018 rechtskonform zu verhalten.

Der neueste Teil widmet sich der Datenschutz-Folgenabschätzung.

Wann muss ich die Folgen abschätzen?

Im Kern haben die Vorabkontrolle aus dem Bundesdatenschutzgesetz und die Datenschutz-Folgenabschätzung (DSFA) zwar das gleiche Ziel. Sie unterscheiden sich aber doch an einigen Stellen.

Es geht in beiden Fällen darum, die möglichen Risiken für den Betroffenen eines Verarbeitungsvorgangs zu ermitteln.  Dies muss passieren, bevor eine Verarbeitung und Speicherung  personenbezogener Daten erfolgt, etwa wenn es um besonders sensible Daten geht.

Regelmäßig muss eine solche Kontrolle erfolgen, wenn mittels der automatisierten Verarbeitung eine Bewertung der betroffenen Person erfolgt.

Das ist zum Beispiel beim Scoring der Kreditwürdigkeit der Fall, oder auch bei der Verarbeitung von Informationen zum Gesundheitszustand.

Inhalte der Folgenabschätzung  laut DSGVO

Nach Artikel 35 Abs. 7 DSGVO umfasst die Datenschutz-Folgenabschätzung zumindest diese Aspekte:

  • Eine systematische Beschreibung der geplanten Verarbeitung und ihres Zwecks. Unter Umständen müssen Sie die von den Verantwortlichen verfolgten berechtigten Interessen darlegen.
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck.
  • Die Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  • Die Darlegung der geplanten Maßnahmen, die die Sicherheit der Daten gewährleisten. Außerdem müssen Garantien, Sicherheitsvorkehrungen und Verfahren beschrieben werden, die zu den Maßnahmen gehören.

Die Arbeitshilfen

Wie aber werden diese Aspekte in der Praxis umgesetzt? Wie kann das dazugehörige Prüfungsschema aussehen?

Derzeit gibt es in den Unternehmen keine praktischen Erfahrungen mit der neuen DSFA. Deshalb dürften die Hinweise der GDD den meisten Datenschutzbeauftragten mehr als willkommen sein.

Die Praxishilfen stehen online als PDF und teilweise als Word-Dokumente zur Verfügung.

Stephan Lamprecht

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln