01.07.2024

Datenschutz-Folgenabschätzung im Unternehmen: So gehen Sie vor

Sie planen die Umsetzung neuer Verfahren im Unternehmen unter Verwendung personenbezogener Daten? Sind die Daten möglicherweise einem hohen Risiko in diesem Verfahren ausgesetzt, so ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO vorzunehmen.

Unverbindliches Erstgespräch vereinbaren

Art. 35 DSGVO verpflichtet Sie zu einer umfassenden und systematischen Analyse und Bewertung der vorgenommenen Datenverarbeitung, insbesondere betroffen ist die Verwendung neuer Technologien.

Was ist eine Datenschutz-Folgenabschätzung?

Was genau ist eine DSFA? Auch Art. 35 DSGVO bleibt zu der genauen Ausgestaltung einer DSFA vage; lediglich die Pflicht zur Durchführung einer DSFA bei Verarbeitungen, die eine hohes Risiko für die personenbezogenen Daten der betroffenen Personen bergen, wird beschrieben. Genaue Hinweise zur Form und Vorgehensweise einer DSFA lassen sich jedoch nicht aus der Norm selbst erkennen. Zur genauen und effektiven Umsetzung gehört jedoch mehr als nur ein einfaches Dokument, das die Risiken der Verarbeitung zusammenfasst, sie ist vielmehr als mehrphasiger Prozess zu verstehen, der umfassend die Verarbeitungstätigkeiten – auch im Hinblick auf Scope und Verarbeitungszweck – erfasst und analysiert und weiter die technische und organisatorische Umsetzung zur Sicherheit der Daten begleitet. Die DSFA ist als umfassender Prozess zu verstehen, der die Verarbeitung personenbezogener Daten sowohl auf technisch-organisatorischer Ebene, aber auch auf rechtlicher Ebene unter Berücksichtigung der Verarbeitungszwecke bewertet.

Wer ist verpflichtet eine Datenschutz-Folgenabschätzung durchzuführen?

Auch zur Frage, wer eine DSFA durchführen muss, führt Art. 35 Abs. 1 DSGVO nur aus, dass dies der Verantwortliche tun muss. Verantwortlicher ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet, Art. 4 Nr. 7 DSGVO. Auf den ersten Blick erscheint eine Einstufung hier einfach zu sein, aber die Verwendung von bspw. Cloudanwendungen kann die genaue Bestimmung der Verantwortlichkeit erschweren, wodurch die Anbieter selbst als Verantwortliche für einzelne Verarbeitungszwecke agieren oder ggfs. auch eine gemeinsame Verantwortlichkeit bestehen kann. Eine genaue und korrekte Einordnung ist für den Erfolg der DSFA entscheidend.

Für welche Datenverarbeitungen muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Art. 35 Abs. 1 DSGVO definiert zunächst nur, dass eine Abschätzung vorzunehmen ist, wenn die Verarbeitung ein hohes Risiko für die personenbezogenen Daten der betroffenen Personen vorliegt. Nähere Angaben, welche Verarbeitungstätigkeiten als besonders riskant einzustufen sind, macht Art. 35 Abs. 1 DSGVO nicht; erwähnt wird nur, dass insbesondere bei der Verwendung neuer Technologien, ein hohes Risiko bestehen könne.

Bei der Einführung neuer Technologien in Ihrem Unternehmen ist also ein besonderer Fokus auf den ggfs. bestehenden Bedarf einer DSFA zu legen. Umfasst sind umfangreiche Verarbeitungsvorgänge, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten (vgl. ErwGr. 91 DSGVO). Unter diese Kategorie von Daten könnten bspw. die Nutzung von KI-Systemen fallen, denen eine immer größere Bedeutung beigemessen wird. KIs – wie bspw. „GPT-4“ von OpenAI – benötigen große Datenmengen und eine große Varianz an Datenkategorien – auch personenbezogene -, um „lernen“ zu können. Aus diesem Grunde ist speziell bei der Einführung solcher Dienste ein besonderes Augenmerk auf die Vornahme einer DSFA zu legen.

Weiter definiert Art. 35 Abs. 3 DSGVO gesetzliche Fälle, in denen eine DSFA vorzunehmen ist. Demnach ist eine DSFA in Fällen vorzunehmen, in denen:

  1. Eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung einschließlich Profiling begründet und als Grundlage für die Entscheidung dient.
  2. Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 9 Abs. 1 DSGVO) oder von personenbezogenen über strafrechtliche Verurteilungen oder Straftaten gem. Art. 10 DSGVO
  3. Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Art. 35 Abs. 4 DSGVO erlaubt den Datenschutzbehörden, eine Liste zu veröffentlichen, in welchen Fällen eine DSFA zwingend vorzunehmen ist. So wird durch die Aufsichtsbehörde eine Liste veröffentlicht, die diese Tätigkeiten aufzeigt. Allerdings ist die nicht abschließend, weshalb auch hier eine Einzelfallprüfung notwendig ist.

Sind all diese Verarbeitungstätigkeiten nicht zutreffend, so bedeutet dies nicht, dass keine DSFA vorzunehmen ist. Im Rahmen einer Schwellwertanalyse ist das Risiko der Verarbeitung zu bestimmen. In Fällen, in denen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, ist immer eine DSFA durchzuführen.

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Warum ist die DSFA für Ihr Unternehmen relevant?

Aus Art. 35 DSGVO ergibt sich eine Pflicht zur Vornahme einer DSFA, wenn eine in den Anwendungsbereich fallende Verarbeitungstätigkeit vorliegt. Unterlässt das Unternehmen die Vornahme einer DSFA, obwohl eine Pflicht bestand, so ist dies bußgeldbewährt. Wichtig ist also eine genaue Prüfung, ob eine DSFA vorgenommen werden muss.

Relevant ist die DSFA auch aus Sicherheitsaspekten. Sie legt die Risiken der einzelnen Verarbeitungstätigkeiten offen, die durch die Nutzung neuer Technologien und zunehmender Automatisierung in Unternehmen existieren. Es werden im Rahmen einer DSFA Konzepte entwickelt, um diese Risiken einzuschränken und fortlaufend evaluiert, ob diese noch dazu geeignet sind, die Risiken einzuschränken. So setzen wir eine Datenschutz-Folgenabschätzung in Ihrem Unternehmen um.

Wie läuft eine Datenschutz-Folgenabschätzung ab?

Die DSFA ist ein mehrstufiger Prozess, der zunächst eine Zusammenfassung und Beschreibung der betroffenen Verarbeitungstätigkeiten umfasst und im Anschluss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Relation zum Zweck bewertet. Vorangestellt zur eigentlichen DSFA ist eine Schwellwertanalyse – wenn kein gesetzlicher Fall aus Art. 35 vorliegt -, die das Risiko der Verarbeitungstätigkeiten bestimmt.

Es gilt im ersten Schritt zu identifizieren, welche Verarbeitungstätigkeiten von der DSFA umfasst sind (Scope). Im weiteren Verlauf des ersten Schrittes werden dann die verschiedenen Akteure mit eingebunden und durch Interviews und Bildung von Teams, ein möglichst genaues Bild von den Verarbeitungstätigkeiten geschaffen.

Newsletter

Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.

Bitte rechnen Sie 9 plus 4.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Auf Basis des ersten Schritts wird der Prüfungsgegenstand eingegrenzt und definiert. Dieser ist Gegenstand des DSFA-Berichts und der Einschätzung. Im Rahmen dieses Berichts wird die Tätigkeit auf ihre Rechtmäßigkeit und die Sicherheit der betroffenen Personen überprüft.

Im zweiten Teil der Durchführungsphase erfolgt die Risikoanalyse. Hier werden die Risiken der Verarbeitungstätigkeit erfasst und bewertet, insbesondere werden aber auch technische und organisatorische Maßnahmen (TOM) geprüft, um die bestehenden Risiken einzudämmen und so eine Verarbeitung möglich zu machen.

Nach der Risikoanalyse erfolgt eine finale Umsetzung der Maßnahmen nach erfolgter Freigabe. Wichtig ist auch hier, die fortlaufende Betreuung, um zukünftige Änderungen oder kleinere Anpassungen rechtzeitig zu erkennen und diese erneut bewerten zu können.

Zum Beitrag: Die Datenschutz-Folgenabschätzung am Beispiel von Microsoft 365

Wer führt eine Datenschutz-Folgenabschätzung durch?

Die DSFA kann grundsätzlich innerhalb des Unternehmens stattfinden. Ist ein Datenschutzbeauftragter benannt worden, so ist dieser am Prozess der DSFA zu beteiligen (vgl. Art. 35 Abs. 2 DSGVO). Die DSFA ohne externe Unterstützung durchzuführen kann allerdings auch erhebliche Risiken begründen. So sind insbesondere im Rahmen der Schwellwertanalyse alle verfügbaren Informationen genau zu verarbeiten und einzuordnen; ohne Erfahrungen in diesem Bereich kann es zu erheblichen Fehleinschätzungen kommen, die die Richtigkeit der DSFA beeinflussen können. Werden die Risiken zu gering eingeschätzt oder nicht erkannt , kann die DSFA unzureichend sein und die Datenverarbeitung dann bußgeldbewährt sein. Aus diesem Grund ist die Einbeziehung von Datenschutzexperten ratsam, um eine rechtssichere DSFA zu erhalten.

Mit uns gelingt die DSFA

Ob in ein übergeordnetes Datenschutz-Management eingebettet oder auf ein konkretes Projekt bezogen – wir sind Ihr Ansprechpartner für die Begleitung und Durchführung von Datenschutz-Folgenabschätzungen. Profitieren Sie von unserer Expertise in der Durchführung einer DSFA und den interdisziplinären Erfahrungen durch unsere Arbeit in verschiedenen Branchen. Mit uns erhalten Sie eine umfassende und vertiefte Rechtsberatung, die zur Lösung komplexer datenschutzrechtlicher Fragestellungen beiträgt und Ihr Projekt zum Erfolg führt. Wir wollen die Geschäftsideen Ihres Unternehmens verwirklichen und unterstützen Sie bei der Durchführung einer DSFA – damit Sie datenschutzkonform arbeiten und erfolgreich sind!

Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!

Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.

Termin vereinbaren

Weitere Neuigkeiten

04.09.2024

AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen

31.07.2024

Digital Health Update 2024

25.07.2024

Bonitätsprüfung und Zusammenarbeit mit Auskunfteien nach der SCHUFA-Entscheidung des EuGH