CompliantDesk

DSGVO für den Mittelstand

Datenschutz-Folgenabschätzung (DSFA) durchführen

DSGVOArt. 35 DSGVO

Bei voraussichtlich hohem Risiko für die Rechte Betroffener verlangt die DSGVO eine Datenschutz-Folgenabschätzung. Sie bewertet die Risiken einer Verarbeitung systematisch, bevor diese beginnt.

Worum geht es?

Art. 35 DSGVO schreibt eine Datenschutz-Folgenabschätzung vor, wenn eine Verarbeitung - insbesondere unter Einsatz neuer Technologien - voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Klassische Auslöser sind umfangreiche Verarbeitung besonderer Datenkategorien, systematische Überwachung öffentlich zugänglicher Bereiche oder Profiling mit erheblichen Auswirkungen. Die Aufsichtsbehörden veröffentlichen dazu Positiv- und Negativlisten, die die Einschätzung erleichtern. Die DSFA muss vor Beginn der Verarbeitung erfolgen, die geplanten Maßnahmen beschreiben, Risiken bewerten und Abhilfemaßnahmen festlegen. Verbleibt trotz Maßnahmen ein hohes Restrisiko, ist die Aufsichtsbehörde vorab zu konsultieren.

Das müssen Sie konkret tun

  • Prüfung anhand der Kriterien aus Art. 35 und der Positivlisten der Aufsichtsbehörden
  • Systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke
  • Bewertung von Notwendigkeit, Verhältnismäßigkeit und Risiken für Betroffene
  • Festlegung von Abhilfemaßnahmen zur Eindämmung der Risiken
  • Vorabkonsultation der Aufsichtsbehörde bei verbleibendem hohem Restrisiko

So setzen Sie es mit CompliantDesk um

  • DSFA strukturiert im DSFA-Modul durchführen, statt sie in einer Einzeldatei zu erstellen
  • Die betroffene Verarbeitung direkt mit dem zugehörigen Eintrag im VVT-Modul verknüpfen
  • Identifizierte Risiken und Restrisiken im Risiko-Register bewerten und behandeln
  • Abhilfemaßnahmen als Kontrollen im Kontroll-Modul nachverfolgen
  • Die abgeschlossene DSFA als versioniertes Dokument für die Aufsicht bereithalten

Typische Fehler

Die DSFA erst nach Start der Verarbeitung statt vorher durchführen
Die Positivlisten der Aufsichtsbehörden ignorieren und die Pflicht falsch einschätzen
Risiken benennen, aber keine konkreten Abhilfemaßnahmen ableiten
Bei hohem Restrisiko die Vorabkonsultation der Behörde auslassen

Häufig gestellte Fragen

Wann ist eine Datenschutz-Folgenabschätzung Pflicht?

Immer dann, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten Betroffener mit sich bringt, etwa bei umfangreicher Verarbeitung besonderer Daten, systematischer Überwachung oder Profiling. Die Positivlisten der Aufsichtsbehörden geben konkrete Anhaltspunkte.

Was passiert, wenn nach der DSFA ein hohes Risiko bleibt?

Lässt sich das hohe Risiko trotz geplanter Maßnahmen nicht ausreichend senken, müssen Sie vor Beginn der Verarbeitung die Aufsichtsbehörde nach Art. 36 DSGVO konsultieren.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen