Arbeitswelt & Trends

Datenschutzfolgeabschätzung

DSFA gemäß DSGVO

von 23.01.2020
datenschutzfolgeabschätzung
Die Erstellung einer DSFA ist für viele Unternehmen Pflicht. © BenediktGeyer/Pixabay

Die Datenschutzfolgeabschätzung ist – abhängig von der Branche und der Art der verarbeiteten Daten – für viele Unternehmen Pflicht. Sie betrifft Betriebe, die regelmäßig oder auch nur situativ mit so genannten „sensiblen“ Daten zu tun haben.
Welche Daten fallen in diese Kategorie? Wie ist eine Datenschutzfolgeabschätzung zu erstellen? Wo liegen die Herausforderungen? Infos bei uns.

datenschutzfolgeabschätzung

Die Erstellung einer DSFA ist für viele Unternehmen Pflicht. Bild: Pixabay/BenediktGeyer

Datenschutzfolgeabschätzung – wann muss sie erstellt werden?

Die Datenschutzfolgeabschätzung (kurz DSFA) ist eigentlich gar nicht so neu wie man vielleicht vermuten könnte. Vor Inkrafttreten der DSGVO im Mai 2018 war sie im deutschen Datenschutzrecht schon unter dem Begriff Vorabkontrolle bekannt und Bestandteil des Bundesdatenschutzgesetzes (§ 4d Abs. 5). Damals wie heute sind die Erhebung und Verarbeitung von „sensiblen“ Daten Dreh- und Angelpunkt für die verpflichtende Erstellung. In die genannte Kategorie fallen Daten, die …

  • … Angaben zu Fähigkeiten, Leistungen oder dem Verhalten einer Person enthalten
  • … Angaben über die physische und psychische Gesundheit enthalten
  • … Rückschlüsse auf die ethnische Herkunft, Religion oder politische Gesinnung zulassen
  • … Angaben zur finanziellen Situation der Person enthalten

Die DSFA ist demnach also vor allem für Versicherungen, Finanzdienstleister, Ärzte, Therapeuten, Anwälte und Unternehmen aus dem Gesundheitswesen relevant. Die Aufsichtsbehörde ist übrigens generell ermächtigt, Unternehmen/Selbstständige unter Angabe einer entsprechenden Begründung von der Pflicht zur Erstellung der DSFA freizustellen. Wie häufig das in der Praxis allerdings passiert, ist fraglich.

Wie erstellt man eine DSFA?

Im Prinzip ist die Erstellung einer Datenschutzfolgeabschätzung kein Hexenwerk. Der Datenschutzbeauftragte muss dabei die besonderen Risiken für die Rechte und Freiheiten der Personen, deren Daten vorliegen, prüfen und erfassen. In einer abschließenden Stellungnahme muss zudem die Rechtmäßigkeit der Datenverarbeitung beschrieben werden. Im Klartext: Die Antwort auf die Frage, warum die sensiblen Daten erhoben werden (müssen) und wozu sie genutzt werden, muss klar und belegbar sein.
Bei vielen Unternehmen/Selbstständigen gibt die Art der Branche bzw. die Dienstleistung die Antwort quasi schon vor. So kann zum Beispiel ein Psychotherapeut seinen Beruf gar nicht korrekt ausüben, wenn er keine Kenntnisse über die Krankheitsgeschichte des Patienten hat. Ein Finanzdienstleister kann kein Angebot zur Vermögensbildung abgeben, wenn er nicht weiß, über welche finanziellen Mittel und Sicherheiten sein Kunde verfügt. Dennoch ist und bleibt die DSFA mit Arbeitsaufwand verbunden.
Insgesamt muss die Datenschutzfolgeabschätzung Folgendes beinhalten:

  • Informationen über jeden einzelnen Verarbeitungsvorgang
  • Bewertung der Notwendigkeit der Datenerhebung und -verarbeitung – auch im Verhältnis zum Zweck
  • Mögliche Risiken/Folgen für die betroffenen Personen (zum Beispiel im Falle von Datenlecks, Hacker-Angriffen, unbefugtem Zugriff durch Dritte)
  • Bewertung der Risiken
  • Geplante Maßnahmen, die die Risiken minimieren (zum Beispiel hinsichtlich der IT-Sicherheit)
  • Nachweise darüber, auf welche Art und Weise der Datenschutz gewährleistet wird
  • Verfahren und Abläufe im Falle des Falles (Datenleck)

Rolle der Datenschutzaufsichtsbehörden

Die Datenschutzfolgeabschätzung landet dann am Ende bei der zuständigen Aufsichtsbehörde. Diese ist übrigens nach Art. 35 Abs. 4 der DSGVO auch dazu verpflichtet, eine Liste für ihren Zuständigkeitsbereich zu erstellen und zu veröffentlichen. Auf dieser stehen alle Betriebe, die eine DSFA durchzuführen haben.
Und genau das ist auch der Grund, weswegen es für betroffene Unternehmen keine Alternative gibt. Bei der Vorabkontrolle sah das tatsächlich noch ein wenig anders aus. Viele Unternehmen wussten gar nichts von der Pflicht oder ignorierten sie und zwar ohne, dass irgendetwas passierte. Das ist nun nicht mehr der Fall.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema Arbeitswelt & Trends

Arbeitswelt & Trends

Windows-Zwischenablage

Tipps und Tricks für eine effiziente Nutzung des Zwischenablageverlaufs

von • 20.11.2024

Mit der Windows-Zwischenablage arbeiten Sie effizienter als je zuvor. Der Zwischenablageverlauf ermöglicht den Zugriff auf zuletzt kopierte Inhalte – ideal für den Büroalltag. Wir erklären, w...

Weiterlesen
Arbeitswelt & Trends

Energieeffizienzgesetz

Unternehmen zu mehr Energieeffizienz verpflichtet

von • 28.08.2024

Im September 2023 hat der Bundestag das Energieeffizienzgesetz beschlossen und damit klare Ziele für die Energieeffizienz festgelegt. Das Gesetz definiert unter anderem erstmals Effizienzstandards f...

Weiterlesen
Arbeitswelt & Trends

KI-Texte schreiben lassen

Mit diesen Tipps hören sich generierte Texte menschlicher an

von • 07.08.2024

ChatGPT und Co. verwenden ständig dieselben Formulierungen. Häufig klingen die Ergebnisse gestelzt und verraten ihre Herkunft. Sie fragen sich: Wie kann ich bessere KI-Texte schreiben lassen? Wir...

Weiterlesen