Datenschutz-Folgenabschätzung ( DSFA )

DPIA
@Adobe @iQoncept

Für Organisationen

Datenschutz-Folgenabschätzungen ( DSFA ) können dazu verwendet werden, datenschutzbezogene Risiken, die sich aus einem neuen Projekt ergeben und die Ihre Organisation oder die Personen, mit denen sie zu tun hat, betreffen können, zu identifizieren und abzuschwächen. Lesen Sie diesen Leitfaden, um mehr darüber zu erfahren, wie und wann eine Datenschutzfolgenabschätzung durchgeführt werden kann.

Wichtige Punkte:

  • - Nach der DSGVO werden Datenschutz-Folgenabschätzungen ( DSFA ) für alle neuen Verarbeitungsprojekte mit hohem Risiko obligatorisch sein.
  • - Das DSFA-Verfahren wird es Ihnen ermöglichen, fundierte Entscheidungen über die Akzeptabilität von Datenschutzrisiken zu treffen und effektiv mit den betroffenen Personen zu kommunizieren.
  • - Nicht alle Risiken können eliminiert werden, aber eine Datenschutz-Folgenabschätzung ( DSFA ) kann es Ihnen ermöglichen, Datenschutzrisiken zu erkennen und abzuschwächen, die Umsetzung vonLösungen für diese Risiken zu planen und die Durchführbarkeit eines Projekts in einem frühen Stadium zu beurteilen.

Wenn eine Datenschutz-Folgenabschätzung ( DSFA ) keine mildernden Schutzmaßnahmen gegen hohe Restrisiken aufzeigt, muss der Datenschutzbeauftragte konsultiert werden.

Eine gute Aktenführung während des DSFA-Verfahrens kann es Ihnen ermöglichen, die Einhaltung der DSGVO nachzuweisen und das Risiko zu minimieren, dass ein neues Projekt rechtliche Schwierigkeiten verursacht.

Inhalt

  • - Was ist eine Datenschutz-Folgenabschätzungen ( DSFA )?
  • - Was sind die Vorteile der Durchführung einer Datenschutz-Folgenabschätzung ( DSFA )?
  • - Wie kann ich wissen, ob eine Datenschutz-Folgenabschätzung ( DSFA ) durchgeführt werden sollte?
  • - Wann ist eine Datenschutz-Folgenabschätzung ( DSFA ) nicht erforderlich?
  • - Ist eine Datenschutz-Folgenabschätzung ( DSFA ) für bestehende Verarbeitungsvorgänge, die bereits vor Inkrafttreten der DSGVO am 25 Mai 2018 bestehen, obligatorisch?
  • - Wann in einem Projektlebenszyklus sollte eine Datenschutz-Folgenabschätzung ( DSFA ) durchgeführt werden?
  • - Wer sollte an der Durchführung der Datenschutz-Folgenabschätzung ( DSFA ) beteiligt sein?
  • - Welche Schritte werden bei Durchführung einer Datenschutz-Folgenabschätzung ( DSFA ) durchlaufen?

Schlüsselelemente einer erfolgreichen Datenschutz-Folgenabschätzung ( DSFA )

  • - Identifizieren, ob eine Datenschutz-Folgenabschätzung ( DSFA ) erforderlich ist
  • - Beschreiben der Informationsflüsse
  • - Identifizieren des Datenschutzes und der damit verbundenen Risiken
  • - Identifizierung und Bewertung von Datenschutzlösungen
  • - Abzeichnung und Aufzeichnung der Ergebnisse der Datenschutz-Folgenabschätzung ( DSFA )
  • - Integration der DSFA-Ergebnisse zurück in den Projektplan

Beratung mit dem Datenschutzbeauftragten und Veröffentlichung der Datenschutz-Folgenabschätzung ( DSFA )

  • - Sollte der Datenschutzbeauftragte nach Abschluss der Datenschutz-Folgenabschätzung ( DSFA ) konsultiert werden?
  • - Sollte die Datenschutz-Folgenabschätzung ( DSFA ) veröffentlicht werden?

Was ist eine Datenschutz-Folgenabschätzung ( DSFA )?

Wenn Ihre Organisation personenbezogene Daten erhebt, speichert oder verwendet, sind die Personen, deren Daten Sie verarbeiten, Risiken ausgesetzt. Diese Risiken reichen von der Gefahr, dass personenbezogene Daten gestohlen oder versehentlich weitergegeben und von Kriminellen verwendet werden, um sich als die Person auszugeben, bis hin zur Sorge, dass die Personen befürchten müssen, dass ihre Daten von Ihrer Organisation für unbekannte Zwecke verwendet werden. Eine Datenschutzfolgenabschätzung ( DSFA ) auch Data Protection Impact Assessment( DPIA ), beschreibt einen Prozess, der darauf abzielt, Risiken, die sich aus der Verarbeitung personenbezogener Daten ergeben, zu identifizieren und diese Risiken soweit und so früh wie möglich zu minimieren. Datenschutzfolgenabschätzungen sind wichtige Instrumente, um Risiken zu negieren und die Einhaltung der GDPR nachzuweisen.

In dieser Darstellung wird davon ausgegangen, dass eine Datenschutz-Folgenabschätzung ( DSFA ) für ein definiertes Projekt und nicht für den Betrieb einer Organisation als Ganzes durchgeführt wird. Eine bestimmte Funktion Ihrer Organisation oder ein Änderungsprogramm für den Betrieb Ihrer Organisation als Ganzes kann als Projekt betrachtet werden.

Was sind die Vorteile der Durchführung einer Datenschutz-Folgenabschätzung ( DSFA )?

Die Durchführung einer Datenschutz-Folgenabschätzung ( DSFA ) wird das Bewusstsein in Ihrer Organisation für die mit einem Projekt verbundenen Datenschutzrisiken verbessern. Dies wird dazu beitragen, das Design Ihres Projekts zu verbessern und Ihre Kommunikation über Datenschutzrisiken mit den relevanten Interessengruppen zu verbessern. Einige der Vorteile der Durchführung einer Datenschutzfolgenabschätzung sind im Folgenden aufgeführt:

  • - Sicherstellung und Nachweis, dass Ihre Organisation die DSGVO einhält und Sanktionen vermeidet
  • - Schaffung von Vertrauen in der Öffentlichkeit durch Verbesserung der Kommunikation über Datenschutzfragen.
  • - Sicherstellen, dass Ihre Nutzer nicht Gefahr laufen, dass ihre Datenschutzrechte verletzt werden.
  • - Ihre Organisation in die Lage versetzen, "Data Protection by Design" in neue Projekte zu integrieren.
  • - Senkung der Betriebskosten durch Optimierung des Informationsflusses innerhalb eines Projekts und Beseitigung unnötiger Datensammlung und -verarbeitung.
  • - Verringerung der datenschutzbezogenen Risiken für Ihre Organisation.
  • - Reduzierung der Kosten und Unterbrechungen der Datenschutzsicherungen durch frühzeitige Integration in den Projektentwurf.

Datenschutz by Design bedeutet, Datenschutzfunktionen und datenschutzfördernde Technologien bereits in einem frühen Stadium direkt in den Projektentwurf einzubetten. Dies wird dazu beitragen, einen besseren und kostengünstigeren Schutz der Privatsphäre des Einzelnen zu gewährleisten.Datenschutz by default bedeutet, dass die Einstellungen der Dienste automatisch datenschutzfreundlich sein müssen.

Diese beiden Grundsätze werden zwar seit langem als gute Praxis empfohlen, sind aber im Rahmen des DSGVO (Artikel 25) gesetzlich verankert.

Wie kann ich wissen, ob eine Datenschutz-Folgenabschätzung ( DSFA ) durchgeführt werden sollte?

Nach der DSGVO ist eine Datenschutz-Folgenabschätzung ( DSFA ) obligatorisch, wenn die Datenverarbeitung "wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen wird". Dies ist besonders relevant, wenn eine neue Datenverarbeitungstechnologie eingeführt wird. In Fällen, in denen nicht klar ist, ob eine Datenschutz-Folgenabschätzung ( DSFA ) strikt obligatorisch ist, ist die Durchführung einer Datenschutz-Folgenabschätzung ( DSFA ) dennoch eine gute Praxis und ein nützliches Instrument, um den für die Datenverarbeitung Verantwortlichen bei der Einhaltung der Datenschutzgesetze zu helfen.

Das DSGVO liefert einige nicht erschöpfende Beispiele dafür, wann eine Datenverarbeitung "wahrscheinlich hohe Risiken mit sich bringt":

"Eine systematische und umfassende Bewertung persönlicher Aspekte in Bezug auf natürliche Personen, die auf einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, beruht und auf den Entscheidungen beruhen, die Rechtswirkungen in Bezug auf die natürliche Person erzeugen oder die natürliche Person in ähnlicher Weise erheblich beeinträchtigen".

"Die Verarbeitung in großem Umfang von besonderen Datenkategorien nach Artikel 9 Absatz 1 oder von personenbezogenen Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten nach Artikel 10".

"Eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab".

Die Artikel-29-Datenschutzgruppe, die sich aus den Vertretern der einzelnen Datenschutzbehörden inder EU zusammensetzt, hat Leitlinien zu Datenschutz-Folgenabschätzungen ( DSFA ) und zu der Frageangenommen, ob die Verarbeitung wahrscheinlich ein hohes Risiko für die Zwecke der DSGVO mit sich bringt. Bei der Beurteilung der Frage, ob die Verarbeitung wahrscheinlich zu einem hohen Risiko führen wird, hat die Artikel-29-Datenschutzgruppe die folgenden Kriterien festgelegt, die zu berücksichtigen sind:

  • - Bewertung einschließlich der Erstellung von Profilen und Vorhersagen, insbesondere "unter Aspekten, die die Arbeitsleistung der betroffenen Person, ihre wirtschaftliche Lage, ihre Gesundheit, ihre persönlichen Präferenzen oder Interessen, ihre Zuverlässigkeit oder ihr Verhalten, ihren Standortoder ihre Bewegungen betreffen" (Erwägungsgründe 71 und 91). Beispiele hierfür könnten eine Banksein, die ihre Kunden gegen eine Kreditauskunftsdatenbank prüft, oder ein Biotechnologie-unternehmen, das genetische Tests direkt den Verbrauchern anbietet, um die Krankheits-/Gesundheitsrisiken einzuschätzen und vorherzusagen, oder ein Unternehmen, das Verhaltens- oder Marketingprofile auf der Grundlage der Nutzung oder Navigation auf seiner Website erstellt.
  • - Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich bedeutsamer Wirkung: Verarbeitung, die darauf abzielt, Entscheidungen über die betroffenen Personen zu treffen, die "rechtliche Wirkungen in Bezug auf die natürliche Person" entfalten oder die "die natürliche Person in ähnlicher Weise erheblich beeinträchtigen" (Artikel 35 Absatz 3 Buchstabe a). Beispielsweise kann die Verarbeitung zum Ausschluss oder zur Diskriminierung von Personen führen. Eine Verarbeitung, die nur geringe oder keine Auswirkungen auf Einzelpersonen hat, entspricht nicht diesem spezifischen Kriterium.
  • - Systematische Überwachung: Verarbeitung, die zur Beobachtung, Überwachung oder Kontrolle von betroffenen Personen verwendet wird, einschließlich Daten, die durch "eine systematische Überwachung eines öffentlich zugänglichen Bereichs" (Artikel 35 Absatz 3 Buchstabe c)) gesammelt wurden. Diese Art der Überwachung ist ein Kriterium, weil die personenbezogenen Daten unter Umständen erhoben werden können, unter denen die betroffenen Personen möglicherweise nicht wissen, wer ihre Daten sammelt und wie sie verwendet werden. Darüber hinaus kann es für die Betroffenen unmöglich sein, sich einer solchen Verarbeitung in häufig öffentlichen (oder öffentlich zugänglichen) Räumen zu entziehen.
  • - Sensible Daten: Dazu gehören besondere Kategorien von Daten, wie sie in Artikel 9 definiert sind (z.B. Informationen über die politischen Meinungen von Personen), sowie personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten. Ein Beispiel wäre ein allgemeines Krankenhaus, das die medizinischen Aufzeichnungen von Patienten führt, oder ein privater Ermittler, der die Daten von Straftätern aufbewahrt. Dieses Kriterium schließt auch Daten ein, die allgemeiner als eine Erhöhung des möglichen Risikos für die Rechte und Freiheiten von Einzelpersonen angesehen werden können, wie z.B. elektronische Kommunikationsdaten, Standortdaten, Finanzdaten (die für Zahlungsbetrug verwendet werden könnten). In dieser Hinsicht kann die Frage, ob die Daten bereits öffentlich zugänglich gemacht wurden, als ein Faktor bei der Beurteilung berücksichtigt werden, wenn erwartet wurde, dass die Daten für bestimmte Zwecke weiterverwendet werden. Dieses Kriterium kann auch Informationen einschließen, die von einer natürlichen Person im Rahmen einer rein persönlichen oder häuslichen Tätigkeit verarbeitet werden (z.B. Cloud-Computing-Dienste für die Verwaltung persönlicher Dokumente, E-Mail-Dienste, Tagebücher, mit Notizfunktionen ausgestattete E-Reader und verschiedene Anwendungen zur Lebensprotokollierung, die sehr persönliche Informationen enthalten können), deren Offenlegung oder Verarbeitung für andere Zwecke als Haushaltsaktivitäten als sehr aufdringlich angesehen werden kann.
  • - Daten, die in großem Umfang verarbeitet werden: Die DSGVO definiert nicht, was unter groß angelegten Datensätzen zu verstehen ist, obwohl Erwägungsgrund 91 einige Hinweise gibt. In jedem Fall empfiehlt die WP29 Gruppe, bei der Entscheidung, ob die Verarbeitung in großem Maßstab erfolgt, insbesondere die folgenden Faktoren zu berücksichtigen:
  • - Die Anzahl der betroffenen Personen, entweder als eine bestimmte Anzahl oder als Anteil an der relevanten Bevölkerung.
  • - Das Datenvolumen und/oder die Bandbreite der verschiedenen Datenelemente, die verarbeitet werden.
  • - Die Dauer oder Dauerhaftigkeit der Datenverarbeitungstätigkeit.
  • - Die geographische Ausdehnung der Verarbeitungstätigkeit.
  • - Datensätze, die abgeglichen oder kombiniert wurden, z.B. aus zwei oder mehreren Datenverarbeitungsvorgängen stammen, die für verschiedene Zwecke und/oder von verschiedenen Datenkontrolleuren in einer Weise durchgeführt wurden, die die angemessenen Erwartungen der betroffenen Person übersteigen würde.
  • - Daten über schutzbedürftige betroffene Personen (Erwägungsgrund 75): Die Verarbeitung dieser Art von Daten kann aufgrund des erhöhten Machtungleichgewichts zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen eine Datenschutzfolgenabschätzung erforderlich machen, was bedeutet, dass die betroffene Person möglicherweise nicht in der Lage ist, in die Verarbeitung ihrer Daten einzuwilligen oder diese abzulehnen. Beispielsweise würden Arbeitnehmer oft auf ernsthafte Schwierigkeiten stoßen, wenn sie sich der Verarbeitung durch ihren Arbeitgeber widersetzen könnten, wenn diese mit der Personalverwaltung verbunden ist. Gleichermaßen kann nicht davon ausgegangen werden, dass Kinder nicht in der Lage sind, sich wissentlich und wohlüberlegt der Verarbeitung ihrer Daten zu widersetzen oder in diese einzuwilligen. Dies betrifft auch schutzbedürftigere Bevölkerungsgruppen, die eines besonderen Schutzes bedürfen, wie z.B. psychisch Kranke, Asylsuchende oder ältere Menschen, Patienten oder in jedem Fall, wenn ein Ungleichgewicht in der Beziehung zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen festgestellt werden kann.
  • - Innovative Nutzung oder Anwendung technologischer oder organisatorischer Lösungen, wie die Kombination von Fingerabdruck- und Gesichtserkennung für eine verbesserte physische Zugangskontrolle usw. Die DSGVO stellt klar (Artikel 35 Absatz 1 und Erwägungsgründe 89 und 91), dass der Einsatz einer neuen Technologie die Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung auslösen kann. Der Grund dafür ist, dass der Einsatz einer neuen Technologie neuartige Formen der Datenerhebung und -nutzung mit sich bringen kann, möglicherweise mit einem hohen Risiko für die Rechte und Freiheiten des Einzelnen. Tatsächlich können die persönlichen und sozialen Folgen des Einsatzes einer neuen Technologie unbekannt sein. Eine Datenschutz-Folgenabschätzung ( DSFA ) wird dem für die Datenverarbeitung Verantwortlichen helfen, solche Risiken zu verstehen und zu behandeln. Beispielsweise könnten bestimmte Anwendungen des "Internet der Dinge" erhebliche Auswirkungen auf das tägliche Leben und die Privatsphäre von Einzelpersonen haben und daher eine Datenschutzfolgenabschätzung erfordern.
  • - Datenübermittlung über Grenzen außerhalb der Europäischen Union (Erwägungsgrund 116) unter Berücksichtigung u.a. des oder der vorgesehenen Zielländer, der Möglichkeit weiterer Übermittlungen oder der Wahrscheinlichkeit von Übermittlungen auf der Grundlage von Ausnahmeregelungen für bestimmte in der DSGVO festgelegte Situationen.
  • - Wenn die Verarbeitung an sich "die betroffenen Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag in Anspruch zu nehmen" (Artikel 22 und Erwägungsgrund 91). Dies schließt Verarbeitungen ein, die in einem öffentlichen Bereich durchgeführt werden, Videoaufzeichnungen von Personen, die vorbeigehen und dies nicht vermeiden können, oder Verarbeitungen, die darauf abzielen, betroffenen Personen den Zugang zu einer Dienstleistung oder die Inanspruchnahme eines Vertrags zu ermöglichen, zu ändern oder wiederzuverwenden. Ein Beispiel dafür ist, dass eine Bank ihre Kunden gegen eine Kreditauskunftsdatenbank prüft, um zu entscheiden, ob sie ihnen einen Kredit anbieten soll.

Die WP29 Gruppe ist der Auffassung, dass je mehr Kriterien von der Verarbeitung erfüllt werden, desto wahrscheinlicher ist es, dass sie ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt und daher eine Datenschutzfolgenabschätzung erfordert. Als Faustregel gilt, dass eine Verarbeitung, die weniger als zwei Kriterien erfüllt, aufgrund des geringeren Risikos möglicherweise keine Datenschutzfolgenabschätzung erfordert, und Verarbeitungen, die mindestens zwei dieser Kriterien erfüllen, eine Datenschutzfolgenabschätzung erfordern. Wenn der für die Verarbeitung Verantwortliche der Ansicht ist, dass eine Verarbeitung, die mindestens zwei dieser Kriterien erfüllt, wahrscheinlich kein hohes Risiko darstellt, sollte er die Gründe für die Nichtdurchführung einer Datenschutz-Folgenabschätzung ( DSFA ) gründlich dokumentieren.

Wann ist eine Datenschutz-Folgenabschätzung ( DSFA ) nicht erforderlich?

Eine Datenschutz-Folgenabschätzung ( DSFA ) ist im Allgemeinen in den folgenden Fällen nicht erforderlich:

  • - Wenn die Verarbeitung "wahrscheinlich nicht zu einem hohen Risiko für die Rechte und Freiheitennatürlicher Personen führt" (Artikel 35 Absatz 1).
  • - Wenn Art, Umfang, Kontext und Zweck der Verarbeitung der Verarbeitung sehr ähnlich sind wie die Verarbeitung, für die eine Datenschutz-Folgenabschätzung ( DSFA ) durchgeführt wurde. In solchen Fällen können die Ergebnisse einer Datenschutzfolgenabschätzung für eine ähnliche Verarbeitung verwendet werden (Artikel 35 Absatz 1).
  • - Wenn eine Verarbeitung eine Rechtsgrundlage im Recht der EU oder der Mitgliedstaaten hat und erklärt hat, dass eine erste Datenschutz-Folgenabschätzung ( DSFA ) nicht durchgeführt werden muss, wenn das Gesetz den spezifischen Verarbeitungsvorgang regelt und wenn eine DPIA nach den Standards des GDPR bereits als Teil der Schaffung dieser Rechtsgrundlage durchgeführt wurde (Artikel 35 Absatz 10).
  • - wenn die Verarbeitung auf der (von der Aufsichtsbehörde erstellten) fakultativen Liste der Verarbeitungen steht, für die keine Datenschutz-Folgenabschätzung ( DSFA ) erforderlich ist (Artikel 35 Absatz 5). Eine solche Liste kann Verarbeitungsvorgänge enthalten, die den von dieser Behörde festgelegten Bedingungen entsprechen, insbesondere durch Leitlinien, spezifische Entscheidungen oder Genehmigungen, Vorschriften zur Einhaltung der Vorschriften usw. In diesen Fällen und vorbehaltlich einer erneuten Prüfung durch die zuständige Aufsichtsbehörde ist eine Datenschutz-Folgenabschätzung ( DSFA ) nicht erforderlich, sondern nur dann, wenn die Verarbeitung strikt in denAnwendungsbereich des in der Liste genannten einschlägigen Verfahrens fällt und weiterhin in vollem Umfang den einschlägigen Anforderungen entspricht.

Ist eine Datenschutz-Folgenabschätzung ( DSFA ) für bestehende Verarbeitungen, die bereits vor Inkrafttreten des GDPR am 25. Mai 2018 bestehen, obligatorisch?

Die DSGVO trat am 25. Mai 2018 in Kraft, und eine Datenschutz-Folgenabschätzung ( DSFA ) ist nur für Verarbeitungen, die nach diesem Datum eingeleitet werden, gesetzlich vorgeschrieben. Dennoch empfiehlt die Artikel-29-Datenschutzgruppe nachdrücklich die Durchführung von Datenschutzfolgenabschätzungen für alle Verarbeitungen mit hohem Risiko vor diesem Datum. Eine Datenschutzfolgenabschätzung kann in der Tat ein wirksames Instrument sein, um sicherzustellen, dass Sie bei allen Operationen, die jetzt beginnen, nicht dem Risiko der Nichteinhaltung ausgesetzt sind, und Ihre Organisation vor Betriebsstörungen bewahren, indem sie es Ihnen ermöglicht, neue Projekte bereits in einem frühen Stadium gegen die DSGVO abzusichern.

Darüber hinaus können unter den folgenden Umständen neue Datenschutz-Folgenabschätzungen ( DSFA ) oder Überprüfungen von Datenschutz-Folgenabschätzungen ( DSFA ) für bestehende Verarbeitungen, die vor dem 25. Mai 2018 begonnen haben, nach diesem Datum erforderlich sein:

  • - Wenn nach Inkrafttreten der DSGVO eine wesentliche Änderung des Verarbeitungsvorgangs stattgefunden hat. Zum Beispiel, wenn eine neue Technologie zum Einsatz kommt oder wenn Daten für einen anderen Zweck verwendet werden. In diesen Fällen handelt es sich bei der Verarbeitung tatsächlich um einen neuen Vorgang, der eine Datenschutz-Folgenabschätzung ( DSFA ) erfordern könnte.
  • - Wenn sich das mit der Verarbeitung verbundene Risiko ändert. Die Risiken und das Risikoniveau können sich infolge einer Änderung einer der Komponenten des Verarbeitungsvorgangs (Daten, unterstützende Vermögenswerte, Risikoquellen usw.) oder aufgrund einer Weiterentwicklung des Kontexts der Verarbeitung (Zweck, Funktionalitäten usw.) ändern. Datenverarbeitungssysteme können sich im Laufe der Zeit weiterentwickeln, und es können neue Bedrohungen und Schwachstellen entstehen.
  • - Der organisatorische oder gesellschaftliche Kontext für die Verarbeitungstätigkeit hat sich geändert, z. B. weil die Auswirkungen bestimmter automatisierter Entscheidungen bedeutender geworden sind, neue Kategorien natürlicher Personen anfällig für Diskriminierung werden oder die Daten an Datenempfänger in einem Land übermittelt werden sollen, die die EU verlassen.

Als bewährte Praxis empfiehlt die Artikel-29-Datenschutzgruppe, dass alle Datenschutzfolgenabschätzungen nach drei Jahren oder früher, wenn sich die Umstände schnell geändert haben, neu bewertet werden sollten.

Wann in einem Projektlebenszyklus sollte eine Datenschutz-Folgenabschätzung ( DSFA ) durchgeführt werden?

Die Datenschutz-Folgenabschätzung ( DSFA ) sollte "vor der Verarbeitung" durchgeführt werden (DSGVO Artikel 35(1) und 35(10), Erwägungsgründe 90 und 93). Es ist im Allgemeinen gute Praxis, eine Datenschutz-Folgenabschätzung ( DSFA ) so früh wie möglich, praktisch bei der Gestaltung des Verarbeitungsvorgangs durchzuführen. Möglicherweise ist es nicht möglich, bereits zu Beginn des Projekts eine Datenschutzfolgenabschätzung durchzuführen, da die Projektziele und ein gewisses Verständnis der Funktionsweise des Projekts erst ermittelt werden müssen, bevor die damit verbundenen Datenschutzrisiken bewertet werden können.

Bei einigen Projekten muss die Datenschutzfolgenabschätzung unter Umständen ein kontinuierlicher Prozess sein und im Laufe des Projekts aktualisiert werden. Die Tatsache, dass eine Datenschutz-Folgenabschätzung ( DSFA ) möglicherweise aktualisiert werden muss, sobald die Verarbeitung tatsächlich begonnen hat, ist kein triftiger Grund für die Verschiebung oder Nichtdurchführung einer Datenschutz-Folgenabschätzung ( DSFA ).

Wer sollte an der Durchführung der Datenschutz-Folgenabschätzung ( DSFA ) beteiligt sein?

Der für die Datenverarbeitung Verantwortliche ist dafür verantwortlich, dass die Datenschutz-Folgenabschätzung ( DSFA ) durchgeführt wird. Sie kann an eine andere Person innerhalb oder außerhalb der Organisation delegiert werden, aber letztlich ist der für die Datenverarbeitung Verantwortliche rechenschaftspflichtig.

Die Datenschutz-Folgenabschätzung ( DSFA ) sollte von Personen durchgeführt werden, die über angemessene Fachkenntnisse und Kenntnisse des betreffenden Projekts verfügen, in der Regel das Projektteam. Wenn Ihre Organisation intern nicht über ausreichende Fachkenntnisse und Erfahrungen verfügt oder wenn ein bestimmtes Projekt wahrscheinlich ein sehr hohes Risiko birgt oder eine sehr große Zahl von Personen betrifft, können Sie erwägen, externe Fachleute zur Beratungoder Durchführung der Datenschutz-Folgenabschätzung ( DSFA ) hinzuzuziehen

Ein umfassender interner Konsultationsprozess kann für die Datenschutz-Folgenabschätzung ( DSFA ) von Vorteil sein, da einige Datenschutzrisiken nur für Personen erkennbar sind, die an bestimmten Aspekten des Projekts arbeiten. Er wird es Ihnen auch ermöglichen, Feedback von denjenigen zu erhalten, deren Arbeit nach der Durchführung des Projekts betroffen sein wird, wie z.B. Ingenieure, Konstrukteure und Entwickler, die über praktische Kenntnisse der Abläufe verfügen. Die Einbeziehung des Öffentlichkeitsarbeitsteams Ihrer Organisation wird eine effektive Kommunikation der Ergebnisse der Datenschutz-Folgenabschätzung ( DSFA ) an externe Interessengruppen ermöglichen.

Nach der DSGVO (Artikel 35) ist es erforderlich, dass jeder für die Datenverarbeitung Verantwortlichemit einem benannten Datenschutzbeauftragten (DSB) den Rat diess DSB einholt. Dieser Rat und die getroffenen Entscheidungen sollten als Teil des DSFA-Prozesses dokumentiert werden. Wenn ein Datenverarbeiter an der Verarbeitung beteiligt ist, sollte der Datenverarbeiter die DSFA unterstützen und alle notwendigen Informationen zur Verfügung stellen.

  • - Der Datenschutzbeauftragte (DSB) ist eine benannte Person, die von einer Organisation ernannt wird, um über die Datenschutzpraktiken innerhalb der Organisation zu beraten. Der DSB kann ein Mitarbeiter oder ein externer Dienstleister sein. Nach der DSGVO ist die Bestellung eines DSB in den folgenden Fällen obligatorisch:
  • - Für öffentliche Einrichtungen, die Daten verarbeiten, mit Ausnahme von Gerichten, die in ihrer gerichtlichen Eigenschaft handeln;
  • - wenn die Kerntätigkeiten der Organisation in der Datenverarbeitung bestehen, die aufgrund ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Maßstab erfordern; oder
  • - Die Kerntätigkeiten der Organisation bestehen darin, in großem Umfang besondere Datenkategorien gemäß Artikel 9 oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen gemäß Artikel 10 der BIPR Verpflichtungserklärung zu verarbeiten.

Der für die Verarbeitung Verantwortliche ist verpflichtet, bei der Durchführung der Datenschutzfolgenabschätzung "die Meinung der betroffenen Personen oder ihrer Vertreter einzuholen" (Artikel 35 Absatz 9), "gegebenenfalls". In einigen Fällen kann es sich bei den betroffenen Personen um Personen innerhalb der Organisation handeln. Die Einholung der Meinung der betroffenen Personen ermöglicht es dem für die Verarbeitung Verantwortlichen, die Anliegen dermöglicherweise Betroffenen zu verstehen und die Transparenz zu verbessern, indem den Betroffenenbewusst gemacht wird, wie ihre Informationen verwendet werden.

Die Ansichten der betroffenen Personen können je nach Kontext auf verschiedene Weise eingeholt werden. Das Personal könnte über eine Gewerkschaft konsultiert werden; Kunden könnten mittels einer Umfrage befragt werden. Wenn die endgültige Entscheidung des für die Verarbeitung Verantwortlichen von den Ansichten der betroffenen Personen abweicht, sollten die Gründe als Teil der Datenschutz-Folgenabschätzung ( DSFA ) festgehalten werden. Wenn der für die Datenverarbeitung Verantwortliche es nicht für angebracht hält, die Ansichten der betroffenen Personen einzuholen, sollte die Begründung dafür dokumentiert werden.

Welche Schritte sind bei der Durchführung einer Datenschutz-Folgenabschätzung ( DSFA ) erforderlich?

Die DSGVO legt die Mindestmerkmale einer Datenschutz-Folgenabschätzung ( DSFA ) fest (Artikel 35Absatz 7 sowie Erwägungsgründe 84 und 90):

  • "eine Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung" (Artikel 35 Absatz 7 und Erwägungsgründe 84 und 90)
  • "eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung".
  • "als Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen"
  • "die geplanten Maßnahmen:
  • "den Risiken zu begegnen";
  • "die Übereinstimmung mit dieser Verordnung nachzuweisen".

Die DSGVO stellt einen breiten, allgemeinen Rahmen für die Gestaltung und Durchführung einer Datenschutz-Folgenabschätzung ( DSFA ) dar. Dies ermöglicht eine Skalierbarkeit, so dass selbst die kleinsten für die Datenverarbeitung Verantwortlichen eine Datenschutz-Folgenabschätzung ( DSFA ) entwerfen und durchführen können, sowie Flexibilität, so dass der für die Datenverarbeitung Verantwortliche die genaue Struktur und Form der Datenschutz-Folgenabschätzung ( DSFA ) bestimmen kann, so dass sie sich in die bestehenden Arbeitspraktiken einfügt.

Schlüsselelemente einer erfolgreichen Datenschutz-Folgenabschätzung ( DSFA )

Die DSGVO schreibt das genaue Verfahren für die Durchführung einer Datenschutz-Folgenabschätzung ( DSFA ) nicht über die oben genannten Mindestmerkmale hinaus vor, wodurch Flexibilität und Skalierbarkeit entsprechend den Bedürfnissen Ihrer Organisation ermöglicht wird. Obwohl es keine vorgeschriebene Vorgehensweise gibt, können die folgenden Schritte Sie durch den Prozess führen:

  • Feststellen, ob eine Datenschutz-Folgenabschätzung ( DSFA ) erforderlich ist.
  • Definition der Merkmale des Projekts, um eine Bewertung der Risiken zu ermöglichen.
  • Identifizierung des Datenschutzes und der damit verbundenen Risiken.
  • Ermittlung von Datenschutzlösungen zur Verringerung oder Beseitigung der Risiken.
  • Abzeichnung der Ergebnisse der Datenschutzfolgenabschätzung.
  • Integration von Datenschutzlösungen in das Projekt.

1. Feststellen, ob eine Datenschutz-Folgenabschätzung ( DSFA ) erforderlich ist

Sie können die im obigen Abschnitt "Woher weiß ich, ob eine Datenschutz-Folgenabschätzung ( DSFA) erforderlich ist" beschriebenen Schritte verwenden, um zu beurteilen, ob Sie eine Datenschutz-Folgenabschätzung ( DSFA ) durchführen müssen. Dies sollte so früh wie möglich im Lebenszyklus des Projekts erfolgen. Sie müssen auch die benötigten Ressourcen, die beteiligten Personen und den Zeitrahmen für den DSFA-Prozess festlegen.

Da die Art und die operationellen Auswirkungen eines Projekts auf den Datenschutz möglicherweise nicht in einem frühen Planungsstadium ersichtlich sind, muss die Datenschutz-Folgenabschätzung ( DSFA ) unter Umständen ein fortlaufender Prozess sein, der im Laufe des Projekts überprüft oder wiederholt werden muss.

2. Beschreibung der Informationsflüsse

Zu einem frühen Zeitpunkt des DSFA-Projekts sollten Sie erkennen, wie beabsichtigt ist, personenbezogene Daten im Rahmen des Projekts zu sammeln, zu speichern, zu verwenden und zu löschen. In dieser Übung sollte auch festgelegt werden, welche Arten von Informationen im Rahmen des Projekts verwendet werden und wer Zugang zu den Informationen hat.

Ziel dieses Schrittes ist es, ein frühes Verständnis dafür zu erlangen, wie Informationen als Teil eines Projektes in jedem Schritt des Prozesses verwendet werden. Dies ist von entscheidender Bedeutung, um in der Lage zu sein, die Datenschutzrisiken zu erkennen, die von einem Projekt ausgehen können, und um festzustellen, welche Mittel zur Minderung dieser Risiken eingesetzt werden könnten.

Sie sollten erwägen, ob durch das Projekt neue persönliche Informationen generiert werden, und diese in Ihr Protokoll dieser Phase aufnehmen. Beispielsweise könnte ein Projekt, das die Verarbeitung psychometrischer Tests beinhaltet, eine Art von persönlichen Informationen (die Antworten auf psychometrische Testfragen) nehmen und sie zu einer anderen Art von persönlichen Informationen verarbeiten (ein psychometrisches Profil). Diese neue Art von persönlichen Informationen hat einen anderen Charakter, so dass ihre separate Aufzeichnung in Ihrer Karte der Informationsflüsse dazu beiträgt, dass ihre besonderen Merkmale später im DSFA-Prozess berücksichtigt werden.

Dieser Teil der Datenschutz-Folgenabschätzung ( DSFA ) spiegelt oft andere Elemente Ihres Projektentwurfsprozesses wider, wie z.B. eine allgemeine Scoping-Übung, um festzustellen, wie das Projekt durchgeführt wird, und kann in eine solche Scoping-Übung integriert werden. Wenn bei der Konzeption eines Projekts darauf geachtet wird, wie die Informationen im Rahmen des Projekts verwendet werden, kann dies auch zu Effizienzvorteilen für Ihre Organisation führen, indem Sie bei der Rationalisierung der Verfahren für den Umgang mit Informationen unterstützt werden.

In dieser Phase des DSFA-Prozesses sollten Sie sich mit internen Interessenvertretern beraten, um dietechnischen Aspekte der Informationserfassung, -speicherung und -verarbeitung zu ermitteln und zu ermitteln, wie die verschiedenen Elemente des Projekts im Betrieb zusammenpassen. Möglicherweise möchten Sie auch externe Partner konsultieren, die möglicherweise von Ihrer Organisation als Datenverarbeiter eingesetzt werden oder an die im Rahmen eines Projekts Informationen weitergegeben werden könnten.

Diese Übung sollte mit den Mitteln dokumentiert werden, die für Ihre Organisation und das betreffende Projekt am besten geeignet sind. Die Verwendung visueller Hilfsmittel, wie z.B. Flussdiagramme, um zu dokumentieren, wie Informationen im Rahmen eines Projekts verwendet werden, kann dabei helfen, potenzielle Datenschutzrisiken zu erkennen. Dies kann auch bei der internen Kommunikation hilfreich sein, indem es dem Projektteam und anderen Personen in Ihrer Organisation besser ermöglicht, die Konzeption des Projekts zu verstehen.

3. Identifizierung des Datenschutzes und der damit verbundenen Risiken

In dieser Phase wird der Projektentwurf untersucht, um zu beurteilen, welche Datenschutzprobleme im Projekt auftreten, und um alle Risiken zu ermitteln, denen Personen ausgesetzt sein könnten, sowie alle datenschutzbezogenen Risiken, die das Projekt für Ihre Organisation mit sich bringen könnte.

Es gibt eine Reihe verschiedener Möglichkeiten, wie der Datenschutz einer Person durch ein neues Projekt beeinträchtigt oder gefährdet werden kann. Die Arten von Risiken reichen von der Gefahr derVerursachung von Ärger, Aufregung oder Unannehmlichkeiten bis hin zu Risiken finanzieller Verluste oder körperlicher Schäden. Es gibt ebenso viele Arten von datenschutzbezogenen Risiken für Organisationen, die mit Fragen der Einhaltung von Vorschriften und kommerziellen Faktoren zusammenhängen. Verstöße gegen die DSGVO, wie z.B. übermäßige Datenverarbeitung oder Datenverletzungen, können zu erheblichen Strafen führen und dem Ruf Ihrer Organisation schaden.

Dieser Schritt sollte auf der Arbeit aufbauen, die in früheren Phasen der Datenschutz-Folgenabschätzung ( DSFA ) geleistet wurde. Die Antworten auf die im obigen Abschnitt "Woher weißich, ob eine Datenschutz-Folgenabschätzung ( DSFA ) durchgeführt werden sollte" dargelegten Kriterien als Leitfaden für die möglicherweise vorhandenen Risiken dienen. Die in Stufe 2 erstellte Karte der Informationsflüsse kann Ihnen helfen, besondere Schwachstellen zu identifizieren, an denen allgemeine Datenschutzrisiken besonders akut sein dürften oder die zu spezifischen Risiken führen könnten.

Für öffentliche Stellen, die Datenverarbeitungsmaßnahmen erwägen, die das EU-Grundrecht auf Datenschutz nach Artikel 8 der EU-Grundrechtscharta einschränken, muss eine detaillierte Analyse der "Notwendigkeit" der Maßnahme durchgeführt werden. Ein vom Europäischen Datenschutzbeauftragten veröffentlichter Leitfaden wird die politischen Entscheidungsträger im öffentlichen Sektor bei der Durchführung der notwendigen Analyse unterstützen. Der Leitfaden des EDSB ist unter https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_de.pdf verfügbar.

Im Folgenden sind Beispiele für die Arten von Risiken aufgeführt, auf die Sie in dieser Phase des DSFA-Prozesses achten sollten. Sie sollten auch sektorspezifische Leitlinien prüfen, die von Aufsichtsbehörden oder Branchengruppen in Ihrem Tätigkeitsbereich bereitgestellt werden können und die Risikoarten hervorheben können, die für Ihre Organisation oder Ihr Projekt relevant sein können.

Sie sollten das Ausmaß der ermittelten Risiken beachten, wobei sowohl die Wahrscheinlichkeit, dass sich ein Risiko manifestiert, als auch seine Auswirkungen zu berücksichtigen sind. Bei der Beurteilung der Schwere des Risikos ist es wichtig, die Sensibilität der im Rahmen des Projekts zu verarbeitenden persönlichen Daten, die Anzahl der Personen, die von einem der identifizierten Risiken betroffen seinkönnten, und die Art und Weise, wie sie betroffen sein könnten, zu berücksichtigen.

Sie sollten über alle in dieser Phase identifizierten Risiken Buch führen. Dies wird später im DSFA-Prozess bei der Erarbeitung von Lösungen zur Vermeidung oder Verringerung dieser Risiken hilfreich sein. Aufzeichnungen können im Falle einer Untersuchung oder Prüfung durch die Data Protection Commission besonders wichtig sein. Eine gute Buchführung kann dazu beitragen, nachzuweisen, wie Ihre Organisation ihren Verpflichtungen nach der DSGVO nachgekommen ist.

Diese Feststellung sollte relativ früh in der Projektkonzeption erfolgen, denn je früher Datenschutzrisiken erkannt werden können, desto einfacher und billiger wird es sein, sie zu mindern.Es handelt sich jedoch nicht um eine einmalige Übung; Sie sollten den Projektentwurf während des gesamten DSFA-Prozesses ständig überprüfen, um das Entstehen neuer Risiken zu überwachen, die aufgrund einer Änderung des Entwurfs oder des Projektumfangs auftreten können, und um bei der Beurteilung zu helfen, welche Risikominderungstechniken funktionieren.

Ihre Organisation kann den Risikomanagementansatz wählen, der am besten zu Ihrem bestehenden Projektmanagementprozess passt. Dieselben Instrumente, die Sie zur Identifizierung anderer regulatorischer oder kommerzieller Risiken als Teil Ihres Projektmanagementprozesses verwenden, können auch zur Bewertung der mit einem Projekt verbundenen Datenschutzrisiken verwendet werden. Der Kernpunkt besteht darin, sicherzustellen, dass ein methodischer Ansatz zur Identifizierung von Risiken gewählt wird und dass Aufzeichnungen über diesen Prozess und alle identifizierten Risiken geführt werden. Möglicherweise möchte Ihre Organisation ein Datenschutz-Risikoregister führen, um die mit einem Projekt verbundenen Risiken zu beschreiben und ihre Wahrscheinlichkeit und Auswirkungen zu bewerten. Sie können dann im Falle von Änderungen am Projekt auf das Register zurückgreifen, um alle Schritte zur Risikominderung oder zusätzlich auftretende Risiken zu notieren. Dies kann in ein bestehendes Risikoregister aufgenommen werden, falls ein solches für das Projekt existiert. Kleinere Projekte können einen relativ informellen Umgang mit Risiken pflegen. Sie können in solchen Fällen immer noch ein Datenschutz-Risikoregister verwenden, wobei die Einträge jedoch den weniger formellen Ansatz widerspiegeln.

Ein Datenschutz-Risikoregister ist ein Stammdokument, in dem Informationen über Datenschutzrisiken, die im Zusammenhang mit einem bestimmten Projekt identifiziert wurden, sowieeine Analyse der Risikoschwere und Bewertungen der möglichen Lösungen festgehalten werden.

Das Datenschutz-Risikoregister sollte im Zuge des Projektfortschritts aktualisiert werden, um alle identifizierten Lösungen oder neuen Risiken widerzuspiegeln.

Beispiel Risiken für Einzelpersonen

  • - Unangemessene Offenlegung persönlicher Daten innerhalb Ihrer Organisation aufgrund fehlender angemessener Kontrollen.
  • - Der versehentliche Verlust von elektronischen Geräten durch das Personal der Organisation kann zu einem Risiko der Offenlegung persönlicher Daten an Dritte führen.
  • - Verletzung von elektronisch gespeicherten Daten durch "Hacker".
  • - Anfällige Personen oder Personen, über die sensible Daten aufbewahrt werden, können durch eine unangemessene Offenlegung persönlicher Daten in sehr hohem Maße betroffen sein.
  • - Informationen, die in anonymisierter Form veröffentlicht werden, können zur Offenlegung persönlicher Daten führen, wenn sich die gewählten Anonymisierungstechniken als nicht wirksam erweisen.
  • - Personenbezogene Daten werden in einer Weise verwendet, die von den betroffenen Personen aufgrund der Entwicklung der Art des Projekts nicht vorhersehbar ist.
  • - Personenbezogene Daten werden für Zwecke verwendet, die von den betroffenen Personen nicht erwartet werden, da sie nicht wirksam erklären können, wie ihre Daten verwendet werden sollen.
  • - Personenbezogene Daten, die für die automatisierte Entscheidungsfindung verwendet werden, können als übermäßig aufdringlich angesehen werden.
  • - Die Zusammenführung von Datensätzen kann dazu führen, dass ein für die Datenverarbeitung Verantwortlicher über weit mehr Informationen über Personen verfügt, als von den Betroffenen erwartet.
  • - Die Zusammenführung von Datensätzen kann es unbeabsichtigterweise ermöglichen, Personen aus anonymisierten Daten zu identifizieren
  • - Die Verwendung von Technologien, die in der Lage sind, Bild- oder Tonaufzeichnungen zu machen,kann unannehmbar aufdringlich sein.
  • - Das Sammeln von Daten, die Identifikatoren enthalten, kann Benutzer daran hindern, einen Dienstanonym zu nutzen.
  • - In Ermangelung geeigneter Richtlinien können Daten länger als erforderlich aufbewahrt werden.
  • - Daten, die für das Projekt unnötig sind, können gesammelt werden, wenn keine geeigneten Richtlinien vorhanden sind, was zu unnötigen Risiken führt
  • - Daten können in Länder mit unangemessenen Datenschutzregelungen übertragen werden

Unternehmensrisiken

  • - Die Nichteinhaltung des DSGVO kann zu Ermittlungen, Verwaltungsstrafen, Strafverfolgung oder anderen Sanktionen führen. Das Versäumnis, gegebenenfalls eine DSFA angemessen durchzuführen, kann selbst einen Verstoß gegen das DSGVO darstellen.
  • - Datenverstöße oder die Nichterfüllung der Kundenerwartungen in Bezug auf den Schutz der Privatsphäre und personenbezogener Daten können zu einem Reputationsrisiko führen.
  • - Das Misstrauen der Öffentlichkeit gegenüber der Verwendung personenbezogener Daten durch Ihre Organisation kann dazu führen, dass Einzelpersonen zögern, mit Ihrer Organisation zu verhandeln.
  • - Probleme mit dem Projektentwurf, die erst spät im Entwurfsprozess oder nach Fertigstellung festgestellt werden, können teuer und umständlich zu beheben sein.
  • - Wenn Sie nicht in der Lage sind, die Art und Weise, wie Ihr Unternehmen Informationen aufbewahrt und nutzt, zu verwalten, kann dies zu ineffizienter Duplizierung oder zur teuren Erfassung und Speicherung unnötiger Informationen führen. Unnötige Verarbeitung und Aufbewahrung von Informationen kann Sie auch dem Risiko der Nichteinhaltung der GDPR aussetzen.
  • - Jeglicher Schaden, der Einzelpersonen durch den falschen Umgang mit persönlichen Daten entsteht, kann zu Schadenersatzforderungen gegen Ihre Organisation führen. Nach dem GDPR können Sie auch für immaterielle Schäden haftbar gemacht werden.

Risiken der Einhaltung

Ihre Organisation kann dem Risiko einer Strafverfolgung, erheblicher Geldstrafen oder einer Rufschädigung ausgesetzt sein, wenn Sie die DSGVO nicht einhalten. Personen, die von einem Verstoß gegen die DSGVO betroffen sind, können sowohl für materielle als auch für immaterielle Schäden Schadenersatz verlangen.

Die Nichtdurchführung einer Datenschutz-Folgenabschätzung ( DSFA ), wo dies angemessen ist, stellt selbst einen Verstoß gegen die Gesetzgebung dar und ist gleichzeitig eine verpasste Gelegenheit, die zukünftigen Erfüllungsrisiken, die ein neues Projekt mit sich bringen kann, zu erkennen und abzuschwächen.

4. Ermittlung und Bewertung von Datenschutzlösungen

Diese Phase schließt sich an die Identifizierung der Datenschutzrisiken in Phase 3 an, mit dem Ziel, das mit dem Projekt verbundene Datenschutzrisiko so weit wie möglich zu minimieren. In fast allen Fällen wird es nicht möglich sein, die Datenschutzrisiken vollständig auszuschalten, aber das Ziel dieser Phase besteht darin, diese Risiken gegen die Ziele des Projekts abzuwägen, um sicherzustellen,dass alle akzeptierten Risiken in einem angemessenen Verhältnis zu den Ergebnissen des Projekts stehen. Wenn jedoch nach GDPR weiterhin hohe Risiken bestehen, müssen Sie sich, wie unten beschrieben, mit dem Datenschutzbeauftragten beraten.

Datenschutzlösungen sind Schritte, die ergriffen werden können, um die Wahrscheinlichkeit oder denSchweregrad der Realisierung von Datenschutzrisiken zu verringern.

Während dieser Phase sollten Sie versuchen, "Datenschutzlösungen" zu finden, um die Auswirkungendes Projekts auf den Datenschutz zu verringern. Sie sollten dies tun, indem Sie jedes der im Rahmen der vorherigen Phase des DSFA-Prozesses identifizierten Risiken betrachten und versuchen, es einzeln anzugehen, oder als Teil einer Datenschutzlösung, die eine Reihe von Risiken gemeinsam angehen kann.

In einigen Fällen können Datenschutzlösungen bestimmte Arten von Risiken ausschalten, z.B. durch den Verzicht auf unnötige Teile eines Projekts, die einzigartige Risiken verursachen. In anderen Fällenkönnen Datenschutzlösungen einfach das Risiko mindern oder die Bedeutung von Datenschutzverletzungen reduzieren, z.B. durch die Einführung von Pseudonymisierung, um das Risiko der Identifizierung der betroffenen Personen zu verringern. Die Art dieser Lösungen hängt von den identifizierten Risikoarten und den Zielen des Projekts ab. Sie sollten eine vollständige Aufzeichnung des Prozesses führen, um alle identifizierten Datenschutzlösungen zu dokumentieren und zu dokumentieren, welche Risiken angegangen werden sollen und welche Risiken akzeptiert wurden. Dies kann in einem unter Schritt 3 erstellten Register der Datenschutzrisiken erfolgen.

Dieser Schritt beinhaltet die Durchführung einer Abwägungsübung zwischen dem Nutzen des Projekts für Einzelpersonen und Ihre Organisation und dem Datenschutz und den damit verbundenenRisiken für diese Personen und Ihre Organisation. Bei der Beurteilung der Frage, ob eine bestimmte Datenschutzlösung weiterverfolgt werden sollte, müssen Kosten und Nutzen der einzelnen Lösungen gegeneinander abgewogen werden. Beispielsweise kann die Anonymisierung von Daten dazu beitragen, das Risiko zu vermeiden, dass Daten, die sich auf eine identifizierbare Person beziehen, versehentlich an Dritte weitergegeben werden, aber es ist wahrscheinlich, dass es die Organisation Geld kostet, ein Anonymisierungssystem einzurichten, und es kann verhindern, dass einige der Ziele des Projekts erreicht werden (wenn diese Ziele von der Verarbeitung von Informationen über identifizierte Personen abhängen).

Jedes Projekt wird seine eigenen einzigartigen Umstände und sein eigenes Risikoprofil haben, so dasses keine "Einheitslösung" für den Datenschutz gibt, die für alle geeignet ist. Im Folgenden sind jedochBeispiele für Datenschutzlösungen aufgeführt, von denen einige in einer Reihe verschiedener Szenarien angewandt werden können:

  • - Die Entscheidung, bestimmte Arten von Informationen nicht zu sammeln oder zu speichern.
  • - Einführung strenger Aufbewahrungsfristen, um die Dauer der Aufbewahrung persönlicher Daten zu minimieren.
  • - Überprüfung der physischen und/oder IT-Sicherheit in Ihrer Organisation oder für ein bestimmtes Projektteam und ggf. Durchführung entsprechender Verbesserungen.
  • - Durchführung allgemeiner oder projektspezifischer Schulungen, um sicherzustellen, dass personenbezogene Daten sicher gehandhabt werden.
  • - Erstellung von Protokollen für den Umgang mit Informationen innerhalb des Projekts und Gewährleistung, dass alle relevanten Mitarbeiter im Umgang mit dem Protokoll geschult sind.
  • - Erstellung eines Leitfadens für das Personal als Bezugspunkt für den Fall, dass Unsicherheiten im Zusammenhang mit der Handhabung von Informationen auftreten.
  • - Beurteilung des Bedarfs an neuen IT-Systemen zur sicheren Verarbeitung und Speicherung der Daten und Schulung des Personals in allen neu eingeführten Systemen.
  • - Beurteilung der Übertragbarkeit der Verwendung anonymisierter oder pseudonymisierter Daten als Teil des Projekts zur Verringerung von Identifikationsrisiken und Entwicklung eines geeigneten Anonymisierungsprotokolls, falls die Verwendung anonymisierter Daten geeignet ist.
  • - Gewährleistung, dass Einzelpersonen vollständig darüber informiert werden, wie ihre Informationen verwendet werden.
  • - Bereitstellung einer Kontaktstelle für Einzelpersonen, um Bedenken, die sie gegenüber Ihrer Organisation haben könnten, vorzubringen.
  • - Falls Sie externe Datenverarbeiter einsetzen, Auswahl entsprechend erfahrener Datenverarbeiter und Schaffung rechtlicher Vorkehrungen, um die Einhaltung der Datenschutzgesetze zu gewährleisten.
  • - Die Entscheidung, ein bestimmtes Element eines Projekts nicht durchzuführen, wenn die damit verbundenen Datenschutzrisiken unausweichlich sind und der von diesem Teil des Projekts erwarteteNutzen diese Risiken nicht rechtfertigen kann.

In den meisten Fällen gibt es einige Datenschutzrisiken, die nicht beseitigt oder verringert werden können. Diese Risiken können akzeptiert werden, wenn sie in einem angemessenen Verhältnis zu denErgebnissen stehen, die durch die Fortführung des Projekts ungeachtet des Risikos erreicht werden. Alle Entscheidungen, Datenschutzrisiken zu akzeptieren, sollten im Datenschutz-Risikoregister oder anderweitig in Übereinstimmung mit Ihrem Projektmanagementprozess festgehalten werden.

In dieser Phase sollten Sie auch sicherstellen, dass das Projekt in Übereinstimmung mit den Datenschutzgesetzen durchgeführt wird. Insbesondere sollten Sie prüfen, ob das Projekt die Datenschutzgrundsätze einhält, und sicherstellen, dass Sie über eine gute rechtliche Grundlage für die Verarbeitung personenbezogener Daten verfügen.

5. Abnahme und Aufzeichnung der DSFA-Ergebnisse

Das Hauptziel der Durchführung einer DPIA besteht darin, die mit einem Projekt verbundenen Datenschutzrisiken zu identifizieren und zu minimieren. Wie jedoch bereits in diesem Leitfaden betont wurde, trägt das Führen von Aufzeichnungen über alle Schritte, die im Rahmen der Datenschutzfolgenabschätzung unternommen werden, dazu bei, sicherzustellen, dass der Prozess gründlich abgeschlossen wird, und den Beteiligten die Gewissheit gibt, dass alle Datenschutzrisiken berücksichtigt wurden. Diese schriftliche Aufzeichnung sollte auch die Grundlage für die Umsetzung der ermittelten Datenschutzlösungen bilden und kann verwendet werden, um die Umsetzung der einzelnen Lösungen abzuhaken.

Es besteht keine Verpflichtung, einen abschließenden DSFA-Bericht zu erstellen, aber es ist eine gute Praxis, dies zu tun. Dieser Bericht sollte in zusammengefasster Form die Aufzeichnungen aus jeder Phase des DPIA-Prozesses zusammenfassen und die Schlussfolgerungen aus jedem Schritt des Prozesses festhalten. Er sollte auch einen Überblick über das Projekt enthalten, in dem erläutert wird, warum es durchgeführt wurde und wie es sich auf den Datenschutz auswirken wird. Sie sollte den bei der Durchführung der Datenschutz-Folgenabschätzung ( DSFA ) angewandten Prozess beschreiben und die Datenschutzrisiken und -lösungen darlegen, die als Teil des Prozesses ermittelt wurden. Ihre Organisation kann beschließen, den DSFA-Bericht oder eine Zusammenfassung davon zu veröffentlichen. Die Entscheidung, ob der Bericht veröffentlicht wird oder nicht, wird wahrscheinlich einen Einfluss darauf haben, wie viele detaillierte Informationen in den Bericht aufgenommen werden, da es unter Umständen nicht angemessen ist, wirtschaftlich sensible Informationen oder Informationen, die zu viele Einzelheiten über festgestellte Sicherheitslücken enthalten, zu veröffentlichen.

Eine Datenschutz-Folgenabschätzung ( DSFA ) erfordert nicht notwendigerweise ein formelles Genehmigungsverfahren, aber Ihre Organisation kann es verlangen, insbesondere dann, wenn sie wesentliche Änderungen an der Art eines Projekts empfiehlt oder wenn sie empfiehlt, erhebliche Risiken zu akzeptieren.

Wenn die festgestellten Datenschutzrisiken nicht mit den Zielen eines Projekts vereinbar sind und es nicht verhältnismäßig wäre, sie zu akzeptieren, sollte diese Phase zur erneuten Bewertung der Durchführbarkeit des Projekts genutzt werden. Unter solchen Umständen kann eine Organisation beschließen, entweder die Ziele eines Projekts zu ändern, um eine Minderung der Datenschutzrisikenzu ermöglichen, oder das Projekt ganz aufzugeben.

6. Die DSFA-Ergebnisse wieder in den Projektplan integrieren

Nach der Unterzeichnung müssen die Ergebnisse der Datenschutz-Folgenabschätzung ( DSFA ) in die Tat umgesetzt werden, indem alle notwendigen Änderungen in die Projektpläne integriert werden. Jefrüher die Datenschutz-Folgenabschätzung ( DSFA ) abgeschlossen werden kann, desto einfacher wird es sein, die Datenschutzlösungen umzusetzen, aber da die Datenschutz-Folgenabschätzung ( DSFA ) in der Regel erst dann abgeschlossen wird, wenn das Projekt bereits etwas in der Planungsphase vorangeschritten ist, wird es normalerweise notwendig sein, die Pläne anzupassen, um die ermittelten Datenschutzlösungen umzusetzen.

Als Teil der Durchführung der Datenschutz-Folgenabschätzung ( DSFA ) sollten Sie Datenschutzfragenim Auge behalten. Insbesondere sollten Sie beurteilen, ob die implementierten Datenschutzlösungendie beabsichtigte Wirkung haben, die Datenschutzrisiken zu mindern. Wenn sich die Projektziele im Laufe der Projektlaufzeit ändern oder erweitern, kann es außerdem erforderlich sein, zu prüfen, ob eine weitere Datenschutzfolgenabschätzung erforderlich ist, um die Auswirkungen der Änderungen auf die ermittelten Datenschutzrisiken zu bewerten. Eine solche Prüfung kann in die bestehenden Verfahren Ihrer Organisation eingebaut werden.

Beratung mit dem Datenschutzbeauftragten und Veröffentlichung der Datenschutz-Folgenabschätzung ( DSFA )

Sollte der Datenschutzbeauftragte nach Abschluss der Datenschutz-Folgenabschätzung ( DSFA ) konsultiert werden?

Wenn der für die Datenverarbeitung Verantwortliche während des DSFA-Prozesses Risiken für Personendaten identifiziert und Maßnahmen zur Minderung dieser Risiken ergriffen hat, ist es nicht notwendig, den Datenschutzbeauftragten zu konsultieren, bevor mit dem Projekt fortgefahren wird.

Wenn die Datenschutz-Folgenabschätzung ( DSFA ) den Schluss zulässt, dass die identifizierten Risiken nicht beherrscht werden können und das Restrisiko hoch bleibt, müssen Sie den Datenschutzbeauftragten konsultieren, bevor Sie mit dem Projekt fortfahren.

Unabhängig davon, ob eine Konsultation des DPC erforderlich ist oder nicht, bleiben Sie verpflichtet, ein Protokoll über die DSFA zu führen und die DSFA zu gegebener Zeit zu aktualisieren.

Selbst wenn eine Konsultation nicht erforderlich ist, kann die Datenschutz-Folgenabschätzung ( DSFA ) zu einem späteren Zeitpunkt vom DPC überprüft werden, wenn sich ein Audit oder eine Untersuchung aufgrund Ihrer Verwendung von Personendaten ergibt.

Die Veröffentlichung der Datenschutz-Folgenabschätzung ( DSFA ) ist nicht gesetzlich vor-geschrieben. Es gibt jedoch eine Reihe von Vorteilen, wenn Sie dies tun. Die Veröffentlichung der Datenschutz-Folgenabschätzung ( DSFA ) kann dazu beitragen, das Vertrauen in Ihren Umgang mit personenbezogenen Daten zu stärken und Rechenschaftspflicht und Transparenz zu demonstrieren, insbesondere wenn Mitglieder der Öffentlichkeit betroffen sind. Dies kann insbesondere für Datenschutz-Folgenabschätzungen ( DSFA ) , die von öffentlichen Stellen durchgeführt werden, von Vorteil sein.

Die veröffentlichte Datenschutz-Folgenabschätzung ( DSFA ) muss nicht die gesamte Bewertung enthalten, insbesondere wenn die DSFA Informationen über Sicherheitsrisiken oder wirtschaftlich sensible Informationen enthalten könnte. Sie könnte sogar nur aus einer Zusammenfassung der wichtigsten Ergebnisse der Datenschutz-Folgenabschätzung ( DSFA ) bestehen.

Haben Sie Fragen oder benötigen Sie Unterstützung bei der Erstellung einer Datenschutz-Folgenabschätzung ( DSFA ) ? – Rufen Sie bitte an – 04532-2767803

Nach oben scrollen