Das Wichtigste zur Datenschutz-Folgenabschätzung in Kürze
- Die Datenschutz-Folgenabschätzung ist für zahlreiche öffentliche und nichtöffentliche Stellen, die Daten erheben, verarbeiten und nutzen, mit Wirksamkeit der Datenschutz-Grundverordnung (DSGVO) ab Mai 2018 verbindlich.
- Maßgebliches Ziel der Datenschutz-Folgenabschätzung ist die systematische Vorabbewertung von Risiken für die Rechte und Freiheiten der Betroffenen, die einzelne Verarbeitungsvorgänge mit sich bringen.
- Darüber hinaus sollen nach Artikel 35 DSGVO im Rahmen der Datenschutz-Folgenabschätzung auch Strategien entwickelt werden, die die Verminderung von Risiken in jedem Einzelfall zum Ziel haben.
Was ist die Datenschutz-Folgenabschätzung nach DSGVO?
Inhaltsverzeichnis
Die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union wird mit Wirkung zum Mai 2018 für alle Mitgliedsländer verbindlich, auch ohne dass diese europäisches zunächst in staatliches Recht übertragen müssten. Die DSGVO sieht unter anderem unterschiedlichste Kontrollmechanismen vor, die in datenverarbeitenden Stellen den optimalen Schutz der personenbezogenen Daten gewährleisten sollen. Genauer sollen die möglichen Folgen einzelner Verarbeitungsvorgänge auf den Datenschutz der Betroffenen unter die Lupe genommen werden.
Eine der wichtigsten Installationen ist die sogenannte Datenschutz-Folgenabschätzung. Die entsprechenden Grundlagen finden sich in Artikel 35 DSGVO. Aber was genau soll die Datenschutz-Folgenabschätzung leisten? Im Allgemeinen handelt es sich um eine optimierte und strukturierte Risikoanalyse. Nach Artikel 35 Absatz 7 DSGVO muss eine Datenschutz-Folgenabschätzung mindestens folgende Inhalte haben:
- exakte Beschreibung der geplanten Verarbeitungsvorgänge und der jeweiligen Verarbeitungszwecke sowie etwaiger berechtigter Interessen des Verantwortlichen
- Evaluierung von Notwendigkeit und Verhältnismäßigkeit der Erhebung personenbezogener Daten bezogen auf den jeweiligen Zweck
- Evaluierung von Risiken für die Freiheiten sowie Rechte der Betroffenen
- geplante Abhilfemaßnahmen, mit deren Hilfe die Risiken bewältigt werden können (Garantien, Sicherheitsvorkehrungen, Verfahren)
Welche Einrichtungen müssen die Datenschutz-Folgenabschätzung zum Beispiel durchführen?
Nicht jedes Unternehmen muss eine Datenschutz-Folgenabschätzung vornehmen. Die DSGVO nennt einzelne Beispielfälle, in denen die Vorabkontrolle erfolgen muss. Maßgeblich sind dies nach Artikel 35 Absatz 3 DSGVO öffentliche und nichtöffentliche Stellen, die:
- mit Scoringverfahren (z. B. Wirtschaftsauskunfteien) arbeiten oder ähnliche Datenverarbeitungen zum Zwecke des Profiling vornehmen oder
- besondere Arten personenbezogener Daten in erheblichem Umfang speichern, verarbeiten und nutzen (auch bezogen auf strafrechtliche Verurteilungen und Straftaten) oder
- systematisch und umfangreich öffentliche Räume überwachen (vor allem per Videoüberwachung)
Datenschutz-Folgenabschätzung: Checkliste
Im Folgenden stellen wir Ihnen für den Ablauf der Datenschutz-Folgenabschätzung eine Vorlage zur Verfügung. Diese erhebt jedoch keinen Anspruch auf Vollständigkeit und kann aus diesem Grund nur der ersten Orientierung für die genauen Abläufe der Datenschutz-Folgenabschätzung dienen. Welchem Muster diese abschließend tatsächlich zu folgen hat, richtet sich nach den Angaben der jeweiligen Aufsichtsbehörde.
Checkliste zur Datenschutz-Folgenabschätzung | Erledigt? | |
---|---|---|
Erforderlichkeitsprüfung | Ja | Nein |
Werden Daten zum Zwecke des Profilings oder in Scoringverfahren verarbeitet? | ❍ | ❍ |
Werden besonders schützenswerte personenbezogene Daten gespeichert, verarbeitet oder genutzt? | ❍ | ❍ |
Findet die systematische Überwachung im öffentlichen Raum statt? | ❍ | ❍ |
Können Sie eine dieser Fragen mit "Ja" beantworten, ist die Datenschutz-Folgenabschätzung in Ihrer Einrichtung erforderlich. Es gibt darüber hinaus aber auch weitere Kriterien, die dies bestimmen können. | ||
Vorgaben der Aufsichtsbehörden | Ja | Nein |
Ist die Prüfung der Negativ- und Positivlisten, die die Aufsichtsbehörden herausgeben, erfolgt? | ❍ | ❍ |
Gibt es besondere Vorgaben? | ❍ | ❍ |
Wenn ein Datenschutzbeauftragter installiert ist, können Sie diesen für die Durchführung dieser Vorgaben beratend hinzuziehen. | ||
Beschreibung | Ja | Nein |
Haben Sie sämtliche Verarbeitungsvorgänge systematisch beschrieben? | ❍ | ❍ |
Sind die jeweiligen Zwecke der geplanten Verarbeitungsvorgänge festgelegt? Welche sind dies? | ❍ | ❍ |
Wurde ggf. notiert, welches Interesse Sie als Verantwortlicher dabei verfolgen? | ❍ | ❍ |
Prüfung der Datenschutzkonformität | Ja | Nein |
Werden die Datenschutzgrundsätze berücksichtigt? | ||
1. Notwendigkeit | ❍ | ❍ |
2. Verhältnismäßigkeit | ❍ | ❍ |
3. Zweckgebundenheit | ❍ | ❍ |
4. Datensparsamkeit | ❍ | ❍ |
5. Integrität | ❍ | ❍ |
6. Nichtverkettbarkeit | ❍ | ❍ |
7. Vertraulichkeit | ❍ | ❍ |
8. Intervenierbarkeit | ❍ | ❍ |
9. Transparenz | ❍ | ❍ |
Gibt es Strategien zur Wahrung der Rechte der Betroffenen (Auskunftsrecht, Recht auf Löschung usf.)? | ❍ | ❍ |
Risikobewertung | Ja | Nein |
Besteht bei der Datenverarbeitung oder bei einzelnen Schritten vermutlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen? Welche Sind dies? | ❍ | ❍ |
Maßnahmen zur Risikovermeidung | Ja | Nein |
Wurden jedem einzelnen Risiko Abhilfemaßnahmen zugeordnet (Garantien, Sicherheitsvorkehrungen, Schutzverfahren, Nachweisverfahren usf.)? | ❍ | ❍ |
Sind die Abhilfemaßnahmen entsprechend für alle Zuständigen dokumentiert? | ❍ | ❍ |
Standpunkt des Betroffenen | Ja | Nein |
Haben Sie unterschiedliche Standpunkte zum Verarbeitungsvorgang von Betroffenen oder deren Vertretern eingeholt? | ❍ | ❍ |
Wurden Bedenken bei der Risikobewertung und -vermeidung berücksichtigt? | ❍ | ❍ |
Ökonomie | Ja | Nein |
Wurde die Firmenstruktur an die Ergebnisse der Risikobewertung geschaffen? | ❍ | ❍ |
Sind ausreichend finanzielle Mittel für das Datenschutz-Segment angewiesen? | ❍ | ❍ |
Wurde ein Datenschutzbeauftragter bestellt? | ❍ | ❍ |
Dokumentation | Ja | Nein |
Wurde die Datenschutz-Folgenabschätzung umfassend, systematisch und belastbar dokumentiert? | ❍ | ❍ |
Heiko meint
14. Dezember 2020 at 19:43
Hallo Datenschutz.org!
Ihre Informationen über Datenschutz und Cookies finde ich ‚gut‘ gemacht, aber das Sie selbst Cookies auf Ihrer Web-Seite verwenden, ist nicht akzeptabel.
Durch Cookies-Abfragen wird der Nutzer ein Web-Seite grundsätzlich gezwungen, die Cookie-Vorgaben des Anbieters zu akzeptieren und das meist ‚ungelesen‘ für das Kleingedruckte. Klar, kann man oft sich mühselig durch die Cookies-Einstellungen durchwühlen, aber wer will für kurzes lesen sehr lange vorher die Cookies-Vorgaben durchsehen. Was wurde durch die neue Vorgabe erreicht?
Genau das Gegenteil, was die Politiker „Vorgaben“ erreichen zu wollen. Der Nutzer stimmt irgend ein Vorgabe (Cookie) ‚blind‘ zu und hofft, das dadurch kein Unheil angerichtet wird.
Meine Bewertung für diese verantwortlichen Politiker ist sehr mangelhaft, ja zugar ’schädlich‘ und man sollte diese Politiker in Verantwortung nehmen.
Damit eine Web-Seite funktioniert, muß man nicht etwas ‚ungelesenes‘ zustimmen!
Ohne Zustimmung durch den Nutzer, egal ob Cookies verwendet werden oder nicht, war man sicherer.
Wie wird sichergestellt, das die Cookies den Datenschutzbestimmungen genügen?
Das läuft am Ende auf Vertrauen hinaus! Ich traue keiner Web-Seite und lösche grundsätzlich Cookies beim schließen des Browsers und habe kein Intresse an einer auf meiner Person zugeschnitten Web-Seite.
Bei den Cookies-Einstellungen gibt es für mich grundsätzlich kein ‚berechtigtes Intresse‘, auch wenn dies gern so vorgegaukelt wird!
Sinnvoll wäre ein Gesetz, welches verhindert, das diese Cookies-„Abfragen“ verhindert und somit etwas mehr Vertrauen zu schaffen.