Datenschutzfolgeabschätzung

DSFA gemäß DSGVO

Von in Aktuelles
23
Jan
'20

Die Datenschutzfolgeabschätzung ist – abhängig von der Branche und der Art der verarbeiteten Daten – für viele Unternehmen Pflicht. Sie betrifft Betriebe, die regelmäßig oder auch nur situativ mit so genannten „sensiblen“ Daten zu tun haben.

Welche Daten fallen in diese Kategorie? Wie ist eine Datenschutzfolgeabschätzung zu erstellen? Wo liegen die Herausforderungen? Infos bei uns.

datenschutzfolgeabschätzung

Die Erstellung einer DSFA ist für viele Unternehmen Pflicht. Bild: Pixabay/BenediktGeyer

Datenschutzfolgeabschätzung – wann muss sie erstellt werden?

Die Datenschutzfolgeabschätzung (kurz DSFA) ist eigentlich gar nicht so neu wie man vielleicht vermuten könnte. Vor Inkrafttreten der DSGVO im Mai 2018 war sie im deutschen Datenschutzrecht schon unter dem Begriff Vorabkontrolle bekannt und Bestandteil des Bundesdatenschutzgesetzes (§ 4d Abs. 5). Damals wie heute sind die Erhebung und Verarbeitung von „sensiblen“ Daten Dreh- und Angelpunkt für die verpflichtende Erstellung. In die genannte Kategorie fallen Daten, die …

  • … Angaben zu Fähigkeiten, Leistungen oder dem Verhalten einer Person enthalten
  • … Angaben über die physische und psychische Gesundheit enthalten
  • … Rückschlüsse auf die ethnische Herkunft, Religion oder politische Gesinnung zulassen
  • … Angaben zur finanziellen Situation der Person enthalten

Die DSFA ist demnach also vor allem für Versicherungen, Finanzdienstleister, Ärzte, Therapeuten, Anwälte und Unternehmen aus dem Gesundheitswesen relevant. Die Aufsichtsbehörde ist übrigens generell ermächtigt, Unternehmen/Selbstständige unter Angabe einer entsprechenden Begründung von der Pflicht zur Erstellung der DSFA freizustellen. Wie häufig das in der Praxis allerdings passiert, ist fraglich.

Wie erstellt man eine DSFA?

Im Prinzip ist die Erstellung einer Datenschutzfolgeabschätzung kein Hexenwerk. Der Datenschutzbeauftragte muss die besonderen Risiken für die Rechte und Freiheiten der Personen, deren Daten vorliegen, prüfen und erfassen. In einer abschließenden Stellungnahme muss zudem die Rechtmäßigkeit der Datenverarbeitung beschrieben werden. Im Klartext: Die Antwort auf die Frage, warum die sensiblen Daten erhoben werden (müssen) und wozu sie genutzt werden, muss klar und belegbar sein.

Bei vielen Unternehmen/Selbstständigen gibt die Art der Branche bzw. die Dienstleistung die Antwort quasi schon vor. So kann zum Beispiel ein Psychotherapeut seinen Beruf gar nicht korrekt ausüben, wenn er keine Kenntnisse über die Krankheitsgeschichte des Patienten hat. Ein Finanzdienstleister kann kein Angebot zur Vermögensbildung abgeben, wenn er nicht weiß, über welche finanziellen Mittel und Sicherheiten sein Kunde verfügt. Dennoch ist und bleibt die DSFA mit Arbeitsaufwand verbunden.

Insgesamt muss die Datenschutzfolgeabschätzung Folgendes beinhalten:

  • Informationen über jeden einzelnen Verarbeitungsvorgang
  • Bewertung der Notwendigkeit der Datenerhebung und -verarbeitung – auch im Verhältnis zum Zweck
  • Mögliche Risiken/Folgen für die betroffenen Personen (zum Beispiel im Falle von Datenlecks, Hacker-Angriffen, unbefugtem Zugriff durch Dritte)
  • Bewertung der Risiken
  • Geplante Maßnahmen, die die Risiken minimieren (zum Beispiel hinsichtlich der IT-Sicherheit)
  • Nachweise darüber, auf welche Art und Weise der Datenschutz gewährleistet wird
  • Verfahren und Abläufe im Falle des Falles (Datenleck)

Rolle der Datenschutzaufsichtsbehörden

Die Datenschutzfolgeabschätzung landet dann am Ende bei der zuständigen Aufsichtsbehörde. Diese ist übrigens nach Art. 35 Abs. 4 der DSGVO auch dazu verpflichtet, eine Liste für ihren Zuständigkeitsbereich zu erstellen und zu veröffentlichen. Auf dieser stehen alle Betriebe, die eine DSFA durchzuführen haben.

Und genau das ist auch der Grund, weswegen es für betroffene Unternehmen keine Alternative gibt. Bei der Vorabkontrolle sah das tatsächlich noch ein wenig anders aus. Viele Unternehmen wussten gar nichts von der Pflicht oder ignorierten sie und zwar ohne, dass irgendetwas passierte. Das ist nun nicht mehr der Fall.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.