INFORMATIONEN

DSGVO: Wie man eine Datenschutz-Folgenabschätzung erstellt – Teil 2

Verantwortliche Stelle für den Abschluss der DFA

Die Datenschutzfolgenabschätzung sollte von dem für die Verarbeitung Verantwortlichen in einem frühen Stadium des datenverarbeitenden Unternehmens durchgeführt werden. Das Ziel der Datenschutzfolgenabschätzung ist es, das hohe Risiko zu erkennen. Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, das Risiko zu minimieren, muss er sich an seine Aufsichtsbehörde wenden.

Von dem für die Verarbeitung Verantwortlichen wird erwartet, dass er einen Datenschutzbeauftragten (DSB) benennt. Der für die Verarbeitung Verantwortliche kann sich zunächst von seinem DSB beraten lassen, bevor er die Datenschutzfolgenabschätzung abschließt. Eine Organisation sollte einen behördlichen Datenschutzbeauftragten auf der Grundlage ihrer wichtigsten Verarbeitungsvorgänge benennen, die für die Erreichung der Ziele der Organisation von zentraler Bedeutung sind.

Bezeichnung des DSB

Eine Organisation muss einen behördlichen Datenschutzbeauftragten benennen, wenn ihre Haupttätigkeiten die „Erhebung vertraulicher personenbezogener Daten in großem Umfang oder eine Datenverarbeitungsmethode umfassen, die besonders weitreichend für die Rechte der betroffenen Personen ist“.

Der für die Verarbeitung Verantwortliche sollte die erforderliche Zeit aufwenden, um eine detaillierte Folgenabschätzung zu erstellen. Durch eine DFA kann das Projekt des für die Verarbeitung Verantwortlichen effektiv fortgesetzt und Verzögerungen vermieden werden. Die Umweltverträglichkeitsprüfung muss mindestens die folgenden Punkte umfassen:

  • Eine systematische Erläuterung der geplanten Verarbeitungstätigkeiten und der Zwecke der Verarbeitung, gegebenenfalls einschließlich des vom für die Verarbeitung Verantwortlichen angestrebten echten Interesses;
  • Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten im Hinblick auf den Zweck;
  • Eine Bewertung der Risiken für die Interessen und Freiheiten der betroffenen Personen;
  • Die Gesetze sehen die Lösung von Risiken vor, einschließlich Schutzmaßnahmen, Authentifizierungskontrollen und Mechanismen zur Gewährleistung des Schutzes sensibler Daten und zum Nachweis der Konformität mit diesen Rechtsvorschriften, wobei die Rechte und legitimen Interessen der betroffenen Personen und aller beteiligten Personen berücksichtigt werden.

    • Das UK Information Commissioner’s Office (ICO) hat eine DFA-Vorlage veröffentlicht, die dem für die Verarbeitung Verantwortlichen helfen soll, das DFA-Verfahren und das Ergebnis festzuhalten. Die Vorlage enthält eine Schritt-für-Schritt-Anleitung für das Ausfüllen der Datenschutzfolgenabschätzung.

    Schritte zur Durchführung der DFA

    Die Maßnahmen sind wie folgt:

  • Ermitteln Sie die Notwendigkeit einer Datenschutzfolgenabschätzung – Geben Sie einen allgemeinen Überblick darüber, was das Projekt bezwecken soll und welche Form der Bearbeitung es erfordert. Fügen Sie die erforderlichen Dokumente in den Bericht ein.
  • Beschreibt den Abruf – Erläutern Sie, wie das Projekt Daten erfassen, nutzen, archivieren, austauschen und löschen kann. Legen Sie den Aufbau, den Umfang, die Bedeutung und den Zweck des Verarbeitungsverfahrens dar. Fügen Sie ein Diagramm der Daten bei.
  • Erkennen Sie die Notwendigkeit, sich an einen Spezialisten zu wenden, z. B. an einen Berater für Informationsmanagement.
  • Bewertung von Notwendigkeit und Verhältnismäßigkeit – Prüfung des rechtlichen Rahmens für die Verarbeitung und der Frage, ob der Vorgang das Ziel des Projekts erreichen kann. Erläutern Sie die Techniken, die zur Datenreduzierung und zur Vermeidung bestimmter Vorgänge eingesetzt werden.
  • Identifizierung und Bewertung von Bedrohungen – Identifizierung der Ursache von Risiken und der möglichen Auswirkungen auf Menschen. Erfassen Sie die Wahrscheinlichkeit einer Verletzung, die Schwere des Schadens und das Gesamtrisiko. Berücksichtigen Sie die geltenden Compliance- und Unternehmensrisiken.
  • Ermittlung von Risikominderungsstrategien – Bewertung des Risikos, der Optionen zur Risikominderung oder Risikoverminderung, der Auswirkungen von Risikominderungsmaßnahmen und des Restrisikos.
  • Abzeichnung und Berichterstattung über die Ergebnisse – Holen Sie die Genehmigung des DSB ein und überwachen Sie die Ergebnisse des Programms.

    • Das ICO rät den für die Verarbeitung Verantwortlichen, den Entwurf für Schulungszwecke zu verwenden. Der für die Verarbeitung Verantwortliche kann die Vorlage vor Beginn eines neuen Projekts, das die Verarbeitung personenbezogener Daten beinhaltet, ausfüllen. Darüber hinaus kann der für die Verarbeitung Verantwortliche das Formular verwenden, wenn er eine größere Anpassung des Projekts vornimmt.

    Die DSGVO sieht vor, dass die Datenschutzfolgenabschätzung modular und skalierbar ist. Nach Abschluss der Datenschutzfolgenabschätzung sollte der für die Verarbeitung Verantwortliche:

  • Integration der Ergebnisse in den Plan
  • Überprüfen Sie den Plan ständig.

    • Eine Datenschutzfolgenabschätzung ermöglicht es dem für die Verarbeitung Verantwortlichen, ein hohes Risiko im Umgang mit personenbezogenen Daten zu erkennen, das nicht gemindert werden kann. Wenn dies der Fall ist, muss der für die Verarbeitung Verantwortliche seine Aufsichtsbehörde kontaktieren, bevor er mit der Verarbeitung beginnt.

    Während eine Datenschutzfolgenabschätzung für Hochrisikoprojekte vorgeschrieben ist, wird die Erstellung einer Datenschutzfolgenabschätzung häufig als sichere Praxis für alle großen Projekte angesehen, bei denen personenbezogene Daten verarbeitet werden. Eine gut formulierte Datenschutzfolgenabschätzung gibt dem Auftraggeber den Beweis, dass sie vorliegt:

  • Abwägung der mit der geplanten Datenverarbeitung verbundenen Risiken
  • Erfüllung der umfassenderen Verpflichtungen des Datenschutzes