INFORMATIONEN

How to Implement a Data Protection Impact Assessment

Die Datenschutz-Folgenabschätzung (DFA) ist das in Artikel 35 der Datenschutz-Grundverordnung festgelegte Protokoll. Es besteht darin, alle Verfahren, die personenbezogene Daten innerhalb einer Organisation betreffen, zu definieren und zu erläutern.

Was ist der Zweck einer Datenschutzfolgenabschätzung?

Die Datenschutzfolgenabschätzung dient dazu, Gefahren für den Datenschutz zu ermitteln, die unsichersten Punkte im Sicherheitssystem zu finden und vor allem Protokolle zur Vermeidung von Datenschutzverletzungen zu erstellen.

Die Ergebnisse der Umweltverträglichkeitsprüfung sind in der folgenden Tabelle aufgeführt:

  • Die Arten, Prioritäten und Mengen der vom Unternehmen verarbeiteten personenbezogenen Daten;
  • Datenspeicherung und -abrufverfahren;
  • Mitarbeiter, Lieferanten und Unterauftragnehmer, die an dem Verfahren interessiert sind;
  • Festgestellte Risiken, Schwachstellen und künftige Bedrohungen;
  • Für den Fall einer Verletzung der Privatsphäre sind Maßnahmen vorgesehen.

    • Wann ist eine Datenschutzfolgenabschätzung erforderlich?

    Die Durchführung einer Datenschutzfolgenabschätzung ist in zwei Fällen erforderlich: entweder kurz vor Beginn der Erhebung und Verbreitung personenbezogener Daten oder bei wesentlichen Verbesserungen der von der Organisation bereits geprüften Verfahren.

    Wenn Sie beispielsweise ein neues Produkt auf den Markt bringen, müssen Sie eine Datenschutzfolgenabschätzung durchführen, um die mit der Erhebung personenbezogener Daten verbundenen Risiken zu ermitteln. Alternativ ist eine Bewertung erforderlich, wenn sich die Verarbeitungsumgebung ändert (neue Hardware, Software, Verarbeitungsregeln) oder wenn neue Datentypen auf das bereits gut etablierte Verfahren angewendet werden.

    Es ist daher wichtig, die folgenden Situationen zu bewerten:

    1. Die Übersetzung von Papierarchiven und Papieren in elektronische Dokumente.

    2. Zusammenführung mehrerer Datenbanken in einem Konto.

    3. Einbindung von Personendaten aus kommerziellen Quellen in die aktuelle Unternehmensdatenbank.

    4. Verbesserung der Unternehmensprozesse, die zur Erfassung und Verwendung personenbezogener Daten führen.

    5. Durchführung von Programmen durch Drittanbieter.

    6. Änderungen der personenbezogenen Daten aufgrund der Aufnahme verschiedener Formen von Informationen.

    7. Hinzufügen zusätzlicher Funktionen zu einem bestehenden Produkt oder einer Dienstleistung.

    Die Verordnung legt keine bestimmte Häufigkeit für die Durchführung der Datenschutzfolgenabschätzung fest, da die Häufigkeit ausdrücklich von den Tätigkeiten der Organisation abhängt. Der Zweck des Gesetzes besteht darin, dass Sie jedes Mal, wenn Sie ein neues Projekt mit personenbezogenen Daten einleiten, eine Datenschutzfolgenabschätzung durchführen müssen.

    Die Befragung von Mitarbeitern, die Überprüfung von Unterlagen und die Suche nach Unternehmensverfahren, die den Schutz der Privatsphäre von Verbrauchern gefährden, ist ein langwieriger und zeitaufwändiger Prozess, der viel Liebe zum Detail erfordert.

    Schlussfolgerung

    Wir empfehlen Ihnen, nicht zu schauen, wo der Schuh drückt, sondern sich von qualifizierten Datensicherheitsexperten beraten zu lassen, die bereits Hunderte von Datenschutz-Folgenabschätzungen durchgeführt haben und alle Einzelheiten des Vorgangs kennen.