INFORMATIONEN

Bewältigung der Herausforderungen bei der Durchführung einer DFA

Aufgrund des Umfangs des Prozesses, der oft weitreichende und umfassende Projekte umfasst und von der Beteiligung und Hilfe anderer Interessengruppen innerhalb einer Organisation abhängt, wird die Durchführung einer Datenschutz-Folgenabschätzung (DFA) von Datenschützern oft als eine anspruchsvolle Tätigkeit angesehen.

Zum Glück gibt es viele Strategien, die die Durchführung von Datenschutzfolgenabschätzungen einfacher, schneller und effektiver machen. Unsere Datenschutzexperten stellen in diesem Blogbeitrag die wichtigsten Schritte vor, die zu einem reibungslosen Ablauf beitragen können.

Überarbeiten, aktualisieren, auffrischen

Möglicherweise müssen Sie die genauen Schritte überprüfen, bevor Sie sich auf den Weg machen, eine Datenschutzfolgenabschätzung durchzuführen. Der erste solide Schritt einer AVV ist die Durchführung einer Vorabbewertung oder eines High-Level-Screenings, um festzustellen, ob eine AVV derzeit erforderlich ist.

Sie müssen das Vorhandensein, den Umfang, die Bedeutung und den Zweck der Informationsverarbeitung kennen. Dazu gehört eine Bestandsaufnahme des Datenflusses, der internen Stellen, der externen Organisationen, die an der Verarbeitung beteiligt sind, und der zusätzlichen personenbezogenen Daten. Eine wichtige Überlegung ist, dass immer dann, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führt, eine Datenschutzfolgenabschätzung erforderlich ist.

Eine Datenschutz-Folgenabschätzung sollte durchgeführt werden, wenn die Vorabbewertung auf ein potenziell erhebliches Risiko hinweist; wenn klar ist, dass die Datenschutz-Folgenabschätzung hohe Risiken aufzeigt, die nicht gemindert werden können; wenn es unerlässlich ist, die Aufsichtsbehörde zu kontaktieren.

DFA-Netzwerk einrichten

Die Durchführung einer Datenschutzfolgenabschätzung erfordert das Feedback anderer Beteiligter, von denen die meisten betroffen sind:

  • Wie die Organisation, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt, der für die Verarbeitung Verantwortliche, muss auch der für die Verarbeitung Verantwortliche dafür sorgen, dass die Datenschutzfolgenabschätzung durchgeführt wird. Der eigentliche Prozess der Durchführung der Datenschutz-Folgenabschätzung kann von jemand anderem durchgeführt werden, z. B. von Beratern oder einem externen Dienst. Dennoch bleibt der für die Verarbeitung Verantwortliche in vollem Umfang verantwortlich und trägt die volle Verantwortung für den Auftrag. Die Einholung der Meinung der betroffenen Personen oder ihrer Mitglieder ist eine der wichtigsten Aufgaben des für die Verarbeitung Verantwortlichen. Wenn er beschließt, die Meinung der betroffenen Personen nicht einzuholen, muss der für die Verarbeitung Verantwortliche unbedingt auch seine Gründe dafür aufzeichnen. Tritt ein Problem auf, d. h. weicht das endgültige Urteil des für die Verarbeitung Verantwortlichen von den Ansichten und Meinungen der betroffenen Personen ab, sollten die Gründe für das Vorantreiben einer Maßnahme (oder das Nichtvorantreiben) aufgezeichnet werden.
  • Die zuständige Geschäftseinheit empfiehlt die Durchführung einer Umweltverträglichkeitsprüfung, d. h. vor dem Beginn eines neuen Projekts. Sie können dann Rückmeldungen zur AVV geben und auch im Prozess der Validierung der AVV selbst aktiv sein.
  • Die Chief Information Security Officers sowie der DSB können den für die Verarbeitung Verantwortlichen bei der Durchführung der Datenschutzfolgenabschätzung zu einem bestimmten Verarbeitungsvorgang beraten und sollten die Beteiligten bei der Verfahrensmethodik unterstützen. Sie können auch bei der Bewertung der Kohärenz der Risikobewertung und der Angemessenheit des Risikos sowie bei der Entwicklung von Informationen helfen, die für den Kontext des für die Datenverarbeitung Verantwortlichen spezifisch sind.
  • Es können Spezialisten aus verschiedenen Berufsgruppen beteiligt sein. Es kann sinnvoll sein, Ratschläge von unabhängigen Quellen einzuholen, z. B. von IT-Experten und gegebenenfalls von Sicherheitsexperten, die die einzelnen Schritte der Datenschutzfolgenabschätzung aus einem anderen Blickwinkel beleuchten können.
  • Unterstützung auf C-Ebene gewinnen

    Es kann immer noch schwierig sein, die Geschäftsleitung davon zu überzeugen, den Datenschutz als Priorität zu betrachten, geschweige denn Hilfe für die Durchführung einer Datenschutzfolgenabschätzung zu bekommen. Außerhalb des „inneren Kreises“ der behördlichen Datenschutzbeauftragten ist in der Regel kein Gefühl für die Dringlichkeit vorhanden. Wie können Sie also die Hilfe erhalten, die Sie brauchen? Unsere Experten sind der Meinung, dass Folgendes hilfreich sein könnte:

    Aufzeigen der Risiken und Vorteile

    Wenn Sie der Geschäftsleitung ein umfassendes Bild von der Bedeutung der Datenschutz-Grundverordnung und ihren Auswirkungen auf das Unternehmen vermittelt haben, können Sie eine Grundlage für die Durchführung einer Datenschutzfolgenabschätzung schaffen. Stellen Sie sicher, dass jede Initiative zur Durchsetzung des Datenschutzes der Geschäftsleitung einen Hinweis gibt:

  • Die Fähigkeit, den Kunden zu beweisen, dass Ihr Unternehmen dem Datenschutz Priorität einräumt.
  • Die Möglichkeit, das Risiko eines Rufschadens oder einer Bestrafung wegen eines Verstoßes gegen eine Datenschutzvorschrift zu vermeiden.
  • Die absolute Gewissheit, dass Ihre Kunden Ihnen noch mehr Vertrauen entgegenbringen werden.
  • Schaffung einer Kultur des Datenschutzes

    Es ist auch wichtig, andere Interessengruppen im Unternehmen selbst zu inspirieren, um ein Gefühl der Dringlichkeit zu schaffen. Zu diesem Zweck ist es ratsam, die Kollegen im Unternehmen auf allen Ebenen zu schulen. Das bedeutet, dass nicht nur die Personen in ihren jeweiligen Abteilungen, die für die Durchführung oder Meldung von Datenverarbeitungstätigkeiten verantwortlich sind, auf dem Laufenden gehalten werden sollten.

    Teilen Sie Ihre Ergebnisse transparent mit

    Messen Sie die Wirkung und halten Sie fest, was getan wurde. Sorgen Sie dafür, dass die Beteiligten und die höhere Führungsebene anhand von leicht verständlichen Berichten sehen können, was jeden Monat getan wurde und welche Ergebnisse erzielt wurden.

    Effizientere Gestaltung des Prozesses durch Automatisierung

    DFA sind zeitaufwändig und kosten viel Zeit. Daher spielt die Möglichkeit, die Arbeit rentabler zu gestalten, eine wichtige Rolle. Die Automatisierung kann dabei von Vorteil sein. Die Verwendung integrierter Automatisierungs-Compliance-Tools für Vorabbewertungen, vollständige Datensicherheitsfolgenabschätzungen und die Zusammenarbeit bei diesen Dokumenten würde nicht nur Zeit sparen, sondern den Prozess auch organisierter und praktischer machen, mit einem geringeren Risiko menschlicher Fehler.

    Wozu dient ein Datenverarbeitungsregister?

    Das Register der Verarbeitungstätigkeiten, wie es in Artikel 30 der DSGVO festgelegt ist, ermöglicht es der Organisation, alle Datenverarbeitungsvorgänge zu definieren. Jedes Unternehmen muss auch

    mehr »

    DSGVO im Marketing – eine Checkliste

    In Bezug auf den Datenschutz hat sich seit dem Inkrafttreten der Datenschutzgrundverordnung im Frühjahr 2018 für Unternehmen viel geändert. Es sollte offensichtlich sein, dass die

    mehr »