Was Unternehmen in NRW bei der Umsetzung beachten müssen
Wenn für die Rechte und die Freiheit einer Person, eines sogenannten Betroffenen, bei der Verarbeitung personenbezogener Daten eine Gefahr besteht, dann müssen die Vorgänge der Datenverarbeitung genauer geprüft werden. Es muss eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.
Worauf Sie dabei achten müssen, möchten wir Ihnen in diesem Blog-Artikel erklären.
Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung beurteilt, wie der Name schon sagt, die Folgen, die im Datenschutz für einen Betroffenen entstehen. Unter bestimmten Umständen muss gesondert geprüft werden, ob das Unternehmen, das die personenbezogenen Daten des Betroffenen verarbeitet, alles für den Schutz der Daten tut. Was personenbezogene Daten sind und wie man diese schützt, lesen Sie in unseren Blogbeiträgen.
Beim Datenschutz muss natürlich immer geprüft werden, ob die personenbezogenen Daten von Betroffenen ausreichend geschützt sind. Die DSFA geht aber noch weiter und setzt höhere Ansprüche an die Sicherheit im Datenschutz, da das Risiko für den Betroffenen bei der Datenverarbeitung höher ist.
Die Datenschutz-Folgenabschätzung ist dabei die Dokumentation einer Bewertung und enthält mindestens folgende Angaben:
- systematische Beschreibung der geplanten Verarbeitungsvorgänge
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken
- Abhilfemaßnahmen zur Bewältigung der Risiken
Wann muss eine Datenschutzfolgenabschätzung durchgeführt werden?
Eine Datenschutz-Folgenabschätzung ist immer dann notwendig, wenn Daten der besonderen Kategorie verarbeitet werden oder die Verarbeitung ein besonderes Risiko für den Betroffenen darstellt. Dies ist in der Datenschutzgrundverordnung (DS-GVO) klar geregelt:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Art. 35 DS-GVO
Dies sollte dabei immer durch einen Fachmann, also den (externen) Datenschutzbeauftragten beurteilt werden und kann vorab durch eine Schwellwertanalyse geprüft werden. Diese beurteilt, welches Risiko vorhanden ist, wenn ein Unternehmen alle Maßnahmen getroffen hat, um die Daten ausreichend zu schützen. Danach kann entschieden werden, ob eine DSFA notwendig ist.
Videoüberwachung und Datenschutzfolgenabschätzung
Neben der Verarbeitung von besonderen Kategorien personenbezogener Daten, können auch andere Umstände eine Datenschutz-Folgenabschätzung notwendig machen. Dazu gehören zum Beispiel auch das Profiling oder andere automatisierte Verfahren in der Verarbeitung von personenbezogenen Daten.
Darüber hinaus ist auch eine systematische Überwachung in öffentlich zugänglichen Bereichen, z.B. durch Videoüberwachung ein Fall für eine Datenschutz-Folgenabschätzung. Mehr zum Thema Videoüberwachung lesen Sie hier.
Datenschutz-Folgenabschätzung und die Wirkung im Unternehmen
Die Datenschutz-Folgenabschätzung ist also eine Risikoanalyse, welche das mögliche Risiko von dem Verlust personenbezogener Daten oder einem Zugriff eines Unbefugten beurteilt. Aufgrund dieser Analyse können mögliche Schwachstellen erkannt und behoben werden.
Zudem sollte im Anschluss an die Datenschutz-Folgenabschätzung auch festgelegt werden, wie bei einer möglichen Datenpanne reagiert werden muss, um den Schaden vom Betroffenen abzuwenden oder ihn möglichst gering zu halten.
Datenschutz-Folgenabschätzung und Datenschutzbeauftragter
Artikel 35 der DS-GVO besagt weiter: „Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“
Ein externer Datenschutzbeauftragter kann einem Unternehmen also helfen, die Notwendigkeit einer Datenschutz-Folgenabschätzung einzuschätzen und kann das Unternehmen bei einer Durchführung der DSFA unterstützen.
Wir von Datenschutzberater.NRW bieten Ihnen darüber hinaus folgende Leistungen an:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- Website-Scan für eine DS-GVO-konforme Homepage
- Schulungen für Mitarbeiter
- GoBD-Beratung
- Projektbezogener Datenschutz
Wir stellen einen (externen) Datenschutzbeauftragten (TÜV), für Unternehmen, Schulen, Praxen und Kanzleien in Köln, Siegen, Bonn, Düsseldorf, Siegerland und im ganzen Umland. Nehmen Sie gerne Kontakt zu uns auf.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie die Vorgaben der DS-GVO einhalten, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.