Eine erste Anleitung für Unternehmen und Organisationen
Im Rahmen der Datenschutzgrundverordnung (DS-GVO) stellen Unternehmen sicher, dass sie die personenbezogenen Daten Betroffener schützen. Eine zentrale Maßnahme zur Risikominderung ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). In diesem Artikel erläutern wir, wann eine DSFA notwendig ist und wie sie Schritt für Schritt durchgeführt wird.
Was ist ein Betroffener im Sinne des Datenschutzes?
Im Kontext des Datenschutzes ist der Begriff „Betroffener“ von zentraler Bedeutung. Doch wer gilt als Betroffener im Sinne des Datenschutzes?
Laut der DS-GVO bezeichnet der Begriff „Betroffener“ jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden. Dies bedeutet:
- Eine Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere durch Zuordnung zu Identifikatoren wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, identifiziert werden kann.
- Natürliche Person: Der Begriff bezieht sich ausschließlich auf Menschen und nicht auf juristische Personen wie Unternehmen oder Organisationen.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO
Beispiele für Betroffene im Datenschutz
Um den Begriff greifbarer zu machen, betrachten wir einige Beispiele:
- Kunden: Eine Person, die in einem Online-Shop Produkte kauft und dabei ihre Adresse, E-Mail und Zahlungsinformationen angibt, ist ein Betroffener.
- Mitarbeiter: Arbeitnehmer, deren personenbezogene Daten – wie Namen, Kontaktdaten und Sozialversicherungsnummern – im Rahmen ihrer Beschäftigung verarbeitet werden, gelten ebenfalls als Betroffene.
- Nutzer von sozialen Medien: Personen, die ein Profil auf Plattformen wie Facebook, Instagram oder LinkedIn erstellen, sind ebenfalls Betroffene, da ihre Beiträge, Fotos und persönlichen Informationen verarbeitet werden.
Betroffenenrechte im Datenschutz
Die DS-GVO gewährt Betroffenen eine Reihe von Rechten, die ihr persönliches Datenmanagement betreffen. Betroffene haben das Recht, von Unternehmen zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden und welche Daten dies sind (Recht auf Auskunft). Sollten die Daten fehlerhaft oder unvollständig sein, können Betroffene die Berichtigung verlangen (Recht auf Berichtigung).
Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer personenbezogenen Daten verlangen (Recht auf Löschung/Recht auf Vergessenwerden). Betroffene können in bestimmten Fällen die Einschränkung der Verarbeitung ihrer Daten verlangen, was bedeutet, dass die Daten zwar gespeichert, aber nicht mehr aktiv verarbeitet werden (Recht auf Einschränkung der Verarbeitung).
Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übertragen (Recht auf Datenübertragbarkeit). Betroffene können der Verarbeitung ihrer personenbezogenen Daten jederzeit widersprechen (Recht auf Widerspruch).
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Bedeutung des Begriffs im Datenschutz
Der Begriff „Betroffener“ ist im Datenschutz von zentraler Bedeutung, da er die Personen beschreibt, deren personenbezogene Daten geschützt werden. Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, stehen in der Pflicht, die Rechte der Betroffenen zu respektieren und zu gewährleisten.
Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung ist ein Prozess zur Identifizierung und Bewertung von Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind. Ziel ist es, potenzielle negative Auswirkungen auf die Rechte und Freiheiten betroffener Personen zu ermitteln und geeignete Maßnahmen zur Risikoabwehr zu definieren.
Wann ist eine Datenschutz-Folgenabschätzung notwendig?
Eine DSFA ist gemäß Art. 35 der DS-GVO erforderlich, wenn:
- Eine Form der Verarbeitung erfolgt, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.
-
- Dazu zählen beispielsweise:
- Die systematische und umfassende Analyse von personenbezogenen Daten, einschließlich Profiling.
- Die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (wie Gesundheitsdaten oder biometrische Daten).
- Die regelmäßige und systematische überwachte Verarbeitung von Personen in einem öffentlichen Raum.
- Dazu zählen beispielsweise:
Anleitung zur Durchführung einer Datenschutz-Folgenabschätzung
Um eine DSFA effizient durchzuführen, sollten Sie unterschiedliche Schritte durchführen. Beginnen Sie mit einer detaillierten Beschreibung der geplanten Datenverarbeitung. (Welche Daten werden verarbeitet? Zu welchem Zweck erfolgt die Verarbeitung? Wer sind die betroffenen Personen? Wo und wie werden die Daten gespeichert?)
Analysieren Sie, ob die Verarbeitung notwendig und verhältnismäßig ist. Stellen Sie fest, ob der Zweck der Datenverarbeitung auch ohne diese Daten erreicht werden kann. Bewerten Sie die potenziellen Risiken für die betroffenen Personen, die sich aus der Datenverarbeitung ergeben können. Fragen Sie sich, wie stark die Gefährdung der Rechte und Freiheiten der Personen sein könnte.
Maßnahmen zur Risikominderung
Entwickeln Sie geeignete technische und organisatorische Maßnahmen (TOM), um die identifizierten Risiken zu minimieren. Beispiele dafür sind:
- Anonymisierung oder Pseudonymisierung der Daten.
- Implementierung von Zugriffsbeschränkungen.
- Schulungen für Mitarbeiter bezüglich datenschutzkonformer Verarbeitung.
Dokumentieren Sie den gesamten Prozess sowie die vorgenommenen Bewertungen und Entscheidungen. Diese Dokumentation ist nicht nur wichtig für die Rechenschaftspflicht, sondern auch für die Nachweisbarkeit gegenüber Aufsichtsbehörden.
Durchführung einer Datenschutz-Folgenabschätzung
Die Durchführung einer Datenschutz-Folgenabschätzung ist ein essenzieller Bestandteil eines verantwortungsvollen Datenschutzmanagements. Sie hilft dabei, rechtliche Verpflichtungen zu erfüllen. Bei Fragen zur Durchführung einer DSFA oder zur Umsetzung von Datenschutzmaßnahmen stehen wir Ihnen gerne zur Verfügung.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.