Datenschutzfolgenabschätzung2018-09-11T04:00:29+00:00

Datenschutzfolgenabschätzung

Die Datenschutzfolgenabschätzung ist für öffentliche und nichtöffentliche Stellen, die Daten erheben, verarbeiten und nutzen, verbindlich. Maßgebliches Ziel der Datenschutzfolgenabschätzung ist die systematische Vorabbewertung von Risiken für die Rechte und Freiheiten der Betroffenen, die einzelne Verarbeitungsvorgänge mit sich bringen.

Darüber hinaus sollen nach Artikel 35 DSGVO im Rahmen der Datenschutzfolgenabschätzung Strategien entwickelt werden, die die Verminderung von Risiken zum Ziel haben.

Risiken und daraus folgende Schäden bezüglich der Rechte und Freiheiten

Was versteht man unter einem Schaden bezüglich der Rechte und Freiheiten betroffener Personen? Im Erwägungsgrund 75 der DSGVO erfahren wir mehr. Eine Verarbeitung kann demnach zu physischen, materiellen und immateriellen Schäden führen. Darunter wird beispielsweise verstanden:

  • Diskriminierung von Betroffenen
  • Identitätsdiebstahl
  • Finanzieller Verlust
  • Rufschädigung
  • Hinderung der Kontrolle über die eigenen Daten
  • Profilbildung mit Standortdaten

Inhalte einer Datenschutzfolgenabschätzung

Nach Artikel 35 Absatz 7 DSGVO muss eine Datenschutz- Folgenabschätzung folgende Inhalte haben:

  • eine exakte Beschreibung der geplanten Verarbeitungsvorgänge und der jeweiligen Verarbeitungszwecke sowie etwaiger berechtigter Interessen  des Verantwortlichen
  • Abwägung von Notwendigkeit und Verhältnismäßigkeit der Erhebung  personenbezogener Daten bezogen auf den jeweiligen Zweck
  • Abwägung von Risiken für die Freiheiten und Rechte der betroffenen Personen
  • Abhilfemaßnahmen, mit deren Hilfe die Risiken bewältigt werden können

Wer muß eine Datenschutzfolgenabschätzung durchführen?

Eine Datenschutz- Folgenabschätzung ist beispielsweise bei Scoringferfahren (Wirtschaftsauskunfteien, Detekteien) und bei der Erhebung besonderer sensibler Daten (Gesundhaitsdaten, Biometrische Daten) in erheblichem Umfang durchzuführen. Auch wenn systematisch offentliche Räume durch eine Videoanlage überwacht werden.

Kriterien zur Risikobewertung

Eine Risikobewertung ist notwendig, sobald eine Verarbeitung zwei oder mehr Punkte erfüllt.

  1. Es erfolgt eine Bewertung und Einstufung (Scoring) einschließlich Prognosen und Profilerstellung
  2. Eine automatische erfolgende Entscheidungen mit rechtlichen oder ähnlich signifikanten Auswirkungen für betroffene Personen
  3. Anwendung von systematischem Monitoring
  4. Es werden sensitive, insbesondere personenbezogene Daten nach Artikel 9 DSGVO erhoben und verarbeitet
  5. Umfangreiche Datenmengen werden erhoben und verarbeitet
  6. Es werden Vergleich oder Kombination von Datensätzen ausgewertet
  7. Daten ungeschützter Betroffener werden erhoben und verarbeitet
  8. Einsatz innovativer Technologien oder neuartiger organisatorischer Lösungen. Dies müssen einer Risikobewertung standhalten, ansonsten ist eine DFA zu erstellen.
  9. Datentransfers von pbD in Länder außerhalbder EU
  10. Verhinderung, dass die betroffene Person ein Recht ausüben oder eine  Dienstleistung oder einen Vertrag ausführen kann

Beispiel einer Risikobewertung

Unbefugter Zugriff auf Daten durch Abhandenkommen mobiler Datenträger (Smartphone, Notebook). Es wurden keine Maßnahmen ergriffen. Somit ist die Eintrittswahrscheinlichkeit, dass die Daten auf dem Datenträger in falsche Hände geraten und den betroffenen Personen ein Schaden entsteht verhältnismäßig groß.

Risikobewertung

Es wurden im Vorfeld schon Maßnahmen getroffen. Nach abschätzung der Risiken wurden die Daten auf dem Datenträger verschlüsselt. Somit ist die Eintrittswahrscheinlichkeit, dass die Daten auf dem Datenträger in falsche Hände geraten und den betroffenen Personen ein Schaden entsteht verhältnismäßig gering.

Blacklisten und Whitelisten

Die Aufsichtsbehörden müssen Listen von Verarbeitungstätigkeiten veröffentlichen, bei denen eine Datenschutzfolgenabschätzung durchzuführen ist (Black List). Ebenso können diese auch Listen erstellen, bei denen festgelegt wird, dass keine DSFA  gemacht werden muss (White List).

Eine Schwellwertanalyse ist für jede Verarbeitungstätigkeit durchzuführen und zu dokumentieren. Eine Blacklist vom unabhängigem Landeszentrum für Datenschutz in Schleswig- Holstein finden sie hier.

Protokollierung nach § 76 BDSG

In automatisierten Verarbeitungssystemen haben Verantwortliche und Auftragsverarbeiter mindestens die folgenden Verarbeitungsvorgänge zu protokollieren:

  • Erhebung von personenbezogenen Daten
  • Veränderung von personenbezogenen Daten
  • Abfrage von personenbezogenen Daten
  • Offenlegung einschließlich Übermittlung von  personenbezogenen Daten
  • Kombination und Löschung von personenbezogenen Daten

Die Protokolle über Abfragen und Offenlegungen personenbezogener Daten müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.

Die Protokolle dürfen ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch Datenschutzbeauftragte , die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person sowie für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren verwendet werden.

Die Protokolldaten sind am Ende des folgenden Jahres zu löschen.

Der Verantwortliche und der Auftragsverarbeiter haben die Protokolle der oder dem Bundesbeauftragten auf Anforderung zur Verfügung zu stellen.

Titel
Datenschutzfolgenabschätzung
Artikel Name
Datenschutzfolgenabschätzung
Beschreibung
Die Datenschutzfolgenabschätzung ist für zahlreiche öffentliche und nichtöffentliche Stellen, die Daten erheben, verarbeiten und nutzen, verbindlich.
Autor
Name
DSB24
Logo
DJH Digital Marketing & Design erstellt professionelle Webseiten und Shops
DSB24 verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie auf der Seite weitersurfen stimmen Sie der Cookie-Nutzung zu. Ich stimme zu