Die beiden Arbeitshilfen in diesem Produkt Datenschutzfolgenabschätzung unterstützen Sie dabei zu erkennen, ob eine Datenschutzfolgenabschätzung erforderlich ist und wie Sie diese bei erkanntem Bedarf professionell durchführen.
Eine Datenschutzfolgenabschätzung ist nicht grundsätzlich erforderlich
Das Leben ist immer lebensgefährlich. Diese Weisheit lässt sich auch auf den Datenschutz übertragen. Denn im Datenschutz gibt es keinen Schutzbedarf, der unterhalb normal liegt, weil personenbezogene Daten stets zu schützen sind. Das Datenschutzrecht soll sicherstellen, dass natürliche Personen die Hoheit über ihre Daten soweit wie möglich behalten. Die DSGVO erlegt Organisationen deshalb umfangreiche Pflichten auf, wie Meldepflichten, Rechenschaftspflichten, Sicherstellung der Datensicherheit und Umsetzung von Betroffenenrechten. Besteht jedoch aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, fordert die DSGVO zusätzlich eine besondere Maßnahme, nämlich die Datenschutzfolgenabschätzung. Diese Arbeitshilfe unterstützt dabei, hierfür ein einheitliches Verständnis zu schaffen, so dass ein geregelter Prozess gegeben ist.
Die Schwellenwertanalyse muss nachvollziehbar erfolgen
Um eindeutig zu erkennen, ob für einen Verarbeitungsvorgang eine Datenschutzfolgenabschätzung erforderlich ist oder auch nicht, hat sich das Instrument der Schwellenwertanalyse etabliert. Um dies für jeden konkreten Fall ermitteln zu können, müssen einige Punkte abgeklopft werden:
- Liegt für einen ähnlichen Verarbeitungsvorgang bereits eine Datenschutz-Folgenabschätzung vor und weist dieser ähnliche Verarbeitungsvorgang tatsächlich „ähnlich hohe Risiken“ auf?
- Ist der Verarbeitungsvorgang dieses Verfahrens in einer Liste der Aufsichtsbehörde genannt, für die eine Datenschutz-Folgenabschätzung durchzuführen ist?
- Sind ein oder mehrere der neun Kriterien des Working Paper 248 der Artikel-29-Datenschutzgruppe erfüllt?
- Sind sonstige unvertretbar hohe Risiken für den Datenschutz erkennbar?
Dieses Produkt enthält deshalb eine Vorlage, um diese Schwellenwertanalyse strukturiert, nach den Vorgaben und vor allem auch reproduzierbar durchzuführen. Diese Arbeitshilfe unterstützt bei der Zusammenstellung aller wichtigen Eckdaten und natürlich auch bei deren Dokumentation.
Eine Datenschutzfolgenabschätzung erfordert ein systematisches Vorgehen
Die Durchführung einer Datenschutzfolgenabschätzung (DSFA) sollte grundsätzlich organisationsintern stattfinden. Sofern vorhanden, ist es die Aufgabe der/des Datenschutzbeauftragten den Prozess zu koordinieren. In der Regel erfolgt die operative Durchführung durch ein Team der am Verarbeitungsprozess beteiligten Organisationseinheiten. Diese Vorlage konzentriert sich auf den Fall, dass die Durchführung einer Datenschutzfolgenabschätzung erforderlich ist und stellt für deren Durchführung mit den relevanten Schritten die entsprechende Struktur in Form von Tabellen bereit. Der erste Teil umfasst Beschreibung und Bewertung der Vorgänge. Basis ist das Verarbeitungsverzeichnis mit der systematischen Beschreibung der geplanten bzw. bereits vorhandenen Verarbeitungsvorgänge. Der zweite Teil umfasst die Risikobewertung, mit der Ermittlung und Bewertung der Risiken, die den von der geplanten bzw. gegebenen Verarbeitung den Betroffenen drohen. Der dritte Teil umfasst die Bestimmung der Abhilfemaßnahmen, mittels Identifikation und Auswahl geeigneter technischer bzw. organisatorischer Schutzmaßnahmen, entsprechend dem Stand der Technik.
Nutzen Sie diese Arbeitshilfen zur Schwellenwertanalyse sowie zur Datenschutzfolgenabschätzung und sorgen Sie dafür, dass die Organisation ihre Verarbeitungstätigkeiten überprüft und ggf. die richtigen Maßnahmen ergreift.