Arbeitswelt & Trends

Datenschutzfolgeabschätzung

DSFA gemäß DSGVO

von 23.01.2020
datenschutzfolgeabschätzung
Die Erstellung einer DSFA ist für viele Unternehmen Pflicht. © BenediktGeyer/Pixabay

Die Datenschutzfolgeabschätzung ist – abhängig von der Branche und der Art der verarbeiteten Daten – für viele Unternehmen Pflicht. Sie betrifft Betriebe, die regelmäßig oder auch nur situativ mit so genannten „sensiblen“ Daten zu tun haben.
Welche Daten fallen in diese Kategorie? Wie ist eine Datenschutzfolgeabschätzung zu erstellen? Wo liegen die Herausforderungen? Infos bei uns.

datenschutzfolgeabschätzung

Die Erstellung einer DSFA ist für viele Unternehmen Pflicht. Bild: Pixabay/BenediktGeyer

Datenschutzfolgeabschätzung – wann muss sie erstellt werden?

Die Datenschutzfolgeabschätzung (kurz DSFA) ist eigentlich gar nicht so neu wie man vielleicht vermuten könnte. Vor Inkrafttreten der DSGVO im Mai 2018 war sie im deutschen Datenschutzrecht schon unter dem Begriff Vorabkontrolle bekannt und Bestandteil des Bundesdatenschutzgesetzes (§ 4d Abs. 5). Damals wie heute sind die Erhebung und Verarbeitung von „sensiblen“ Daten Dreh- und Angelpunkt für die verpflichtende Erstellung. In die genannte Kategorie fallen Daten, die …

  • … Angaben zu Fähigkeiten, Leistungen oder dem Verhalten einer Person enthalten
  • … Angaben über die physische und psychische Gesundheit enthalten
  • … Rückschlüsse auf die ethnische Herkunft, Religion oder politische Gesinnung zulassen
  • … Angaben zur finanziellen Situation der Person enthalten

Die DSFA ist demnach also vor allem für Versicherungen, Finanzdienstleister, Ärzte, Therapeuten, Anwälte und Unternehmen aus dem Gesundheitswesen relevant. Die Aufsichtsbehörde ist übrigens generell ermächtigt, Unternehmen/Selbstständige unter Angabe einer entsprechenden Begründung von der Pflicht zur Erstellung der DSFA freizustellen. Wie häufig das in der Praxis allerdings passiert, ist fraglich.

Wie erstellt man eine DSFA?

Im Prinzip ist die Erstellung einer Datenschutzfolgeabschätzung kein Hexenwerk. Der Datenschutzbeauftragte muss dabei die besonderen Risiken für die Rechte und Freiheiten der Personen, deren Daten vorliegen, prüfen und erfassen. In einer abschließenden Stellungnahme muss zudem die Rechtmäßigkeit der Datenverarbeitung beschrieben werden. Im Klartext: Die Antwort auf die Frage, warum die sensiblen Daten erhoben werden (müssen) und wozu sie genutzt werden, muss klar und belegbar sein.
Bei vielen Unternehmen/Selbstständigen gibt die Art der Branche bzw. die Dienstleistung die Antwort quasi schon vor. So kann zum Beispiel ein Psychotherapeut seinen Beruf gar nicht korrekt ausüben, wenn er keine Kenntnisse über die Krankheitsgeschichte des Patienten hat. Ein Finanzdienstleister kann kein Angebot zur Vermögensbildung abgeben, wenn er nicht weiß, über welche finanziellen Mittel und Sicherheiten sein Kunde verfügt. Dennoch ist und bleibt die DSFA mit Arbeitsaufwand verbunden.
Insgesamt muss die Datenschutzfolgeabschätzung Folgendes beinhalten:

  • Informationen über jeden einzelnen Verarbeitungsvorgang
  • Bewertung der Notwendigkeit der Datenerhebung und -verarbeitung – auch im Verhältnis zum Zweck
  • Mögliche Risiken/Folgen für die betroffenen Personen (zum Beispiel im Falle von Datenlecks, Hacker-Angriffen, unbefugtem Zugriff durch Dritte)
  • Bewertung der Risiken
  • Geplante Maßnahmen, die die Risiken minimieren (zum Beispiel hinsichtlich der IT-Sicherheit)
  • Nachweise darüber, auf welche Art und Weise der Datenschutz gewährleistet wird
  • Verfahren und Abläufe im Falle des Falles (Datenleck)

Rolle der Datenschutzaufsichtsbehörden

Die Datenschutzfolgeabschätzung landet dann am Ende bei der zuständigen Aufsichtsbehörde. Diese ist übrigens nach Art. 35 Abs. 4 der DSGVO auch dazu verpflichtet, eine Liste für ihren Zuständigkeitsbereich zu erstellen und zu veröffentlichen. Auf dieser stehen alle Betriebe, die eine DSFA durchzuführen haben.
Und genau das ist auch der Grund, weswegen es für betroffene Unternehmen keine Alternative gibt. Bei der Vorabkontrolle sah das tatsächlich noch ein wenig anders aus. Viele Unternehmen wussten gar nichts von der Pflicht oder ignorierten sie und zwar ohne, dass irgendetwas passierte. Das ist nun nicht mehr der Fall.

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema Arbeitswelt & Trends

Arbeitswelt & Trends

Teams 2.0

Neuer Microsoft-Teams-Client ab 1. April 2024 Pflicht

von • 13.03.2024

Microsoft hat bereits Anfang Oktober 2023 eine neue Microsoft-Teams-App vorgestellt. Zum 1. April wird die neue Desktop-App – Teams 2.0 genannt – zur Pflicht.  Wir erklären, was es mit dem ne...

Weiterlesen
Arbeitswelt & Trends

Professionelle E-Mail-Signatur

Mit diesen Tipps können Sie Ihre E-Mail-Signatur erstellen

von • 06.03.2024

Jeden Tag aufs Neue werden unzählige E-Mails zur geschäftlichen Kommunikation versendet. Für einen guten (ersten) Eindruck ist eine professionelle E-Mail-Signatur dabei elementar. Wir erklären,...

Weiterlesen
Arbeitswelt & Trends

Netiquette

15 Verhaltensregeln für einen respektvollen Umgang im Internet

von • 05.02.2024

Im Internet, besonders in den Sozialen Netzwerken, herrscht oft ein etwas rauer Ton. Deshalb gibt es die Netiquette: Sie soll mit wichtigen Verhaltensregeln für bessere Umgangsformen im Netz sorgen. ...

Weiterlesen