INFORMATIONEN

Bewältigung der Herausforderungen bei der Durchführung einer DFA

Aufgrund des Umfangs des Prozesses, der oft weitreichende und umfassende Projekte umfasst und von der Beteiligung und Hilfe anderer Interessengruppen innerhalb einer Organisation abhängt, wird die Durchführung einer Datenschutz-Folgenabschätzung (DFA) von Datenschützern oft als eine anspruchsvolle Tätigkeit angesehen.

Zum Glück gibt es viele Strategien, die die Durchführung von Datenschutzfolgenabschätzungen einfacher, schneller und effektiver machen. Unsere Datenschutzexperten stellen in diesem Blogbeitrag die wichtigsten Schritte vor, die zu einem reibungslosen Ablauf beitragen können.

Überarbeiten, aktualisieren, auffrischen

Möglicherweise müssen Sie die genauen Schritte überprüfen, bevor Sie sich auf den Weg machen, eine Datenschutzfolgenabschätzung durchzuführen. Der erste solide Schritt einer AVV ist die Durchführung einer Vorabbewertung oder eines High-Level-Screenings, um festzustellen, ob eine AVV derzeit erforderlich ist.

Sie müssen das Vorhandensein, den Umfang, die Bedeutung und den Zweck der Informationsverarbeitung kennen. Dazu gehört eine Bestandsaufnahme des Datenflusses, der internen Stellen, der externen Organisationen, die an der Verarbeitung beteiligt sind, und der zusätzlichen personenbezogenen Daten. Eine wichtige Überlegung ist, dass immer dann, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt, eine Datenschutzfolgenabschätzung erforderlich ist.

Eine Datenschutz-Folgenabschätzung sollte durchgeführt werden, wenn die Vorabbewertung auf ein potenziell erhebliches Risiko hinweist; wenn klar ist, dass die Datenschutz-Folgenabschätzung hohe Risiken aufzeigt, die nicht gemindert werden können; wenn es unerlässlich ist, die Aufsichtsbehörde zu kontaktieren.

DFA-Netzwerk einrichten

Die Durchführung einer Datenschutzfolgenabschätzung erfordert das Feedback anderer Beteiligter, von denen die meisten betroffen sind:

Wie die Organisation, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt, der für die Verarbeitung Verantwortliche, muss auch der für die Verarbeitung Verantwortliche dafür sorgen, dass die Datenschutzfolgenabschätzung durchgeführt wird. Der eigentliche Prozess der Durchführung der Datenschutz-Folgenabschätzung kann von jemand anderem durchgeführt werden, z. B. von Beratern oder einem externen Dienst. Dennoch bleibt der für die Verarbeitung Verantwortliche in vollem Umfang verantwortlich und trägt die volle Verantwortung für den Auftrag. Die Einholung der Meinung der betroffenen Personen oder ihrer Mitglieder ist eine der wichtigsten Aufgaben des für die Verarbeitung Verantwortlichen. Wenn er beschließt, die Meinung der betroffenen Personen nicht einzuholen, muss der für die Verarbeitung Verantwortliche unbedingt auch seine Gründe dafür aufzeichnen. Tritt ein Problem auf, d. h. weicht das endgültige Urteil des für die Verarbeitung Verantwortlichen von den Ansichten und Meinungen der betroffenen Personen ab, sollten die Gründe für das Vorantreiben einer Maßnahme (oder das Nichtvorantreiben) aufgezeichnet werden.

Die zuständige Geschäftseinheit empfiehlt die Durchführung einer Umweltverträglichkeitsprüfung, d. h. vor dem Beginn eines neuen Projekts. Sie können dann Rückmeldungen zur AVV geben und auch im Prozess der Validierung der AVV selbst aktiv sein.

Die Chief Information Security Officers sowie der DSB können den für die Verarbeitung Verantwortlichen bei der Durchführung der Datenschutzfolgenabschätzung zu einem bestimmten Verarbeitungsvorgang beraten und sollten die Beteiligten bei der Verfahrensmethodik unterstützen. Sie können auch bei der Bewertung der Kohärenz der Risikobewertung und der Angemessenheit des Risikos sowie bei der Entwicklung von Informationen helfen, die für den Kontext des für die Datenverarbeitung Verantwortlichen spezifisch sind.

Es können Spezialisten aus verschiedenen Berufsgruppen beteiligt sein. Es kann sinnvoll sein, Ratschläge von unabhängigen Quellen einzuholen, z. B. von IT-Experten und gegebenenfalls von Sicherheitsexperten, die die einzelnen Schritte der Datenschutzfolgenabschätzung aus einem anderen Blickwinkel beleuchten können.

Unterstützung auf C-Ebene gewinnen

Es kann immer noch schwierig sein, die Geschäftsleitung davon zu überzeugen, den Datenschutz als Priorität zu betrachten, geschweige denn Hilfe für die Durchführung einer Datenschutzfolgenabschätzung zu bekommen. Außerhalb des „inneren Kreises“ der behördlichen Datenschutzbeauftragten ist in der Regel kein Gefühl für die Dringlichkeit vorhanden. Wie können Sie also die Hilfe erhalten, die Sie brauchen? Unsere Experten sind der Meinung, dass Folgendes hilfreich sein könnte:

Aufzeigen der Risiken und Vorteile

Wenn Sie der Geschäftsleitung ein umfassendes Bild von der Bedeutung der Datenschutz-Grundverordnung und ihren Auswirkungen auf das Unternehmen vermittelt haben, können Sie eine Grundlage für die Durchführung einer Datenschutzfolgenabschätzung schaffen. Stellen Sie sicher, dass jede Initiative zur Durchsetzung des Datenschutzes der Geschäftsleitung einen Hinweis gibt:

Die Fähigkeit, den Kunden zu beweisen, dass Ihr Unternehmen dem Datenschutz Priorität einräumt.

Die Möglichkeit, das Risiko eines Rufschadens oder einer Bestrafung wegen eines Verstoßes gegen eine Datenschutzvorschrift zu vermeiden.

Die absolute Gewissheit, dass Ihre Kunden Ihnen noch mehr Vertrauen entgegenbringen werden.

Schaffung einer Kultur des Datenschutzes

Es ist auch wichtig, andere Interessengruppen im Unternehmen selbst zu inspirieren, um ein Gefühl der Dringlichkeit zu schaffen. Zu diesem Zweck ist es ratsam, die Kollegen im Unternehmen auf allen Ebenen zu schulen. Das bedeutet, dass nicht nur die Personen in ihren jeweiligen Abteilungen, die für die Durchführung oder Meldung von Datenverarbeitungstätigkeiten verantwortlich sind, auf dem Laufenden gehalten werden sollten.

Teilen Sie Ihre Ergebnisse transparent mit

Messen Sie die Wirkung und halten Sie fest, was getan wurde. Sorgen Sie dafür, dass die Beteiligten und die höhere Führungsebene anhand von leicht verständlichen Berichten sehen können, was jeden Monat getan wurde und welche Ergebnisse erzielt wurden.

Effizientere Gestaltung des Prozesses durch Automatisierung

DFA sind zeitaufwändig und kosten viel Zeit. Daher spielt die Möglichkeit, die Arbeit rentabler zu gestalten, eine wichtige Rolle. Die Automatisierung kann dabei von Vorteil sein. Die Verwendung integrierter Automatisierungs-Compliance-Tools für Vorabbewertungen, vollständige Datensicherheitsfolgenabschätzungen und die Zusammenarbeit bei diesen Dokumenten würde nicht nur Zeit sparen, sondern den Prozess auch organisierter und praktischer machen, mit einem geringeren Risiko menschlicher Fehler.

Bedingungen und Konditionen – Was sind die Grundvoraussetzungen?

30/08/2022 Keine Kommentare

Es stimmt, dass jeder von uns mindestens einmal in eine Situation geraten ist, in der er ein Produkt oder eine Dienstleistung online kaufen möchte und

mehr »

Wohin entwickelt sich das Datenschutzrecht im Vereinigten Königreich nach dem Brexit?

21/07/2021 Keine Kommentare

Die Übergangsfrist stellt sicher, dass die EU-Datenschutzvorschriften weiterhin für das Vereinigte Königreich gelten, wenn es ein EU-Mitgliedstaat ist. Der wichtigste Unterschied (der für Unternehmen unbedeutend

mehr »

Einige praktische Tipps für die Verwaltung von Löschungsanträgen

10/07/2021 Keine Kommentare

Die Beantragung von Datenrechten erweist sich als eine der größten Herausforderungen bei der Einhaltung der DSGVO. Letztes Jahr haben wir einige praktische Tipps für den

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Bewältigung der Herausforderungen bei der Durchführung einer DFA

Überarbeiten, aktualisieren, auffrischen

DFA-Netzwerk einrichten

Unterstützung auf C-Ebene gewinnen

Aufzeigen der Risiken und Vorteile

Schaffung einer Kultur des Datenschutzes

Teilen Sie Ihre Ergebnisse transparent mit

Effizientere Gestaltung des Prozesses durch Automatisierung

Bedingungen und Konditionen – Was sind die Grundvoraussetzungen?

Wohin entwickelt sich das Datenschutzrecht im Vereinigten Königreich nach dem Brexit?

Einige praktische Tipps für die Verwaltung von Löschungsanträgen

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen