personenbezogene DatenLesezeit: 3 Min

Eine erste Anleitung für Unternehmen und Organisationen

Im Rahmen der Datenschutzgrundverordnung (DS-GVO) stellen Unternehmen sicher, dass sie die personenbezogenen Daten Betroffener schützen. Eine zentrale Maßnahme zur Risikominderung ist die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). In diesem Artikel erläutern wir, wann eine DSFA notwendig ist und wie sie Schritt für Schritt durchgeführt wird.

BLOG-TIPP: DATENSCHUTZ IN VERTRIEB UND MARKETING FÜR UNTERNEHMEN IN KÖLN, BONN, SIEGBURG UND GANZ NRW

Was ist ein Betroffener im Sinne des Datenschutzes?

Im Kontext des Datenschutzes ist der Begriff „Betroffener“ von zentraler Bedeutung. Doch wer gilt als Betroffener im Sinne des Datenschutzes?

Laut der DS-GVO bezeichnet der Begriff „Betroffener“ jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden. Dies bedeutet:

  • Eine Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere durch Zuordnung zu Identifikatoren wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, identifiziert werden kann.
  • Natürliche Person: Der Begriff bezieht sich ausschließlich auf Menschen und nicht auf juristische Personen wie Unternehmen oder Organisationen.

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO

Beispiele für Betroffene im Datenschutz

Um den Begriff greifbarer zu machen, betrachten wir einige Beispiele:

  • Kunden: Eine Person, die in einem Online-Shop Produkte kauft und dabei ihre Adresse, E-Mail und Zahlungsinformationen angibt, ist ein Betroffener.
  • Mitarbeiter: Arbeitnehmer, deren personenbezogene Daten – wie Namen, Kontaktdaten und Sozialversicherungsnummern – im Rahmen ihrer Beschäftigung verarbeitet werden, gelten ebenfalls als Betroffene.
  • Nutzer von sozialen Medien: Personen, die ein Profil auf Plattformen wie Facebook, Instagram oder LinkedIn erstellen, sind ebenfalls Betroffene, da ihre Beiträge, Fotos und persönlichen Informationen verarbeitet werden.

Betroffenenrechte im Datenschutz

Die DS-GVO gewährt Betroffenen eine Reihe von Rechten, die ihr persönliches Datenmanagement betreffen. Betroffene haben das Recht, von Unternehmen zu erfahren, ob ihre personenbezogenen Daten verarbeitet werden und welche Daten dies sind (Recht auf Auskunft). Sollten die Daten fehlerhaft oder unvollständig sein, können Betroffene die Berichtigung verlangen (Recht auf Berichtigung).

Unter bestimmten Voraussetzungen können Betroffene die Löschung ihrer personenbezogenen Daten verlangen (Recht auf Löschung/Recht auf Vergessenwerden). Betroffene können in bestimmten Fällen die Einschränkung der Verarbeitung ihrer Daten verlangen, was bedeutet, dass die Daten zwar gespeichert, aber nicht mehr aktiv verarbeitet werden (Recht auf Einschränkung der Verarbeitung).

Betroffene haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten an einen anderen Verantwortlichen zu übertragen (Recht auf Datenübertragbarkeit). Betroffene können der Verarbeitung ihrer personenbezogenen Daten jederzeit widersprechen (Recht auf Widerspruch).

BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW

Bedeutung des Begriffs im Datenschutz

Der Begriff „Betroffener“ ist im Datenschutz von zentraler Bedeutung, da er die Personen beschreibt, deren personenbezogene Daten geschützt werden. Unternehmen und Organisationen, die personenbezogene Daten verarbeiten, stehen in der Pflicht, die Rechte der Betroffenen zu respektieren und zu gewährleisten.

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung ist ein Prozess zur Identifizierung und Bewertung von Risiken, die mit der Verarbeitung personenbezogener Daten verbunden sind. Ziel ist es, potenzielle negative Auswirkungen auf die Rechte und Freiheiten betroffener Personen zu ermitteln und geeignete Maßnahmen zur Risikoabwehr zu definieren.

Wann ist eine Datenschutz-Folgenabschätzung notwendig?

Eine DSFA ist gemäß Art. 35 der DS-GVO erforderlich, wenn:

  1. Eine Form der Verarbeitung erfolgt, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.
    •    Dazu zählen beispielsweise:
      • Die systematische und umfassende Analyse von personenbezogenen Daten, einschließlich Profiling.
      • Die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (wie Gesundheitsdaten oder biometrische Daten).
      • Die regelmäßige und systematische überwachte Verarbeitung von Personen in einem öffentlichen Raum.

Anleitung zur Durchführung einer Datenschutz-Folgenabschätzung

Um eine DSFA effizient durchzuführen, sollten Sie unterschiedliche Schritte durchführen. Beginnen Sie mit einer detaillierten Beschreibung der geplanten Datenverarbeitung. (Welche Daten werden verarbeitet? Zu welchem Zweck erfolgt die Verarbeitung? Wer sind die betroffenen Personen? Wo und wie werden die Daten gespeichert?)

Analysieren Sie, ob die Verarbeitung notwendig und verhältnismäßig ist. Stellen Sie fest, ob der Zweck der Datenverarbeitung auch ohne diese Daten erreicht werden kann. Bewerten Sie die potenziellen Risiken für die betroffenen Personen, die sich aus der Datenverarbeitung ergeben können. Fragen Sie sich, wie stark die Gefährdung der Rechte und Freiheiten der Personen sein könnte.

Maßnahmen zur Risikominderung

Entwickeln Sie geeignete technische und organisatorische Maßnahmen (TOM), um die identifizierten Risiken zu minimieren. Beispiele dafür sind:

  • Anonymisierung oder Pseudonymisierung der Daten.
  • Implementierung von Zugriffsbeschränkungen.
  • Schulungen für Mitarbeiter bezüglich datenschutzkonformer Verarbeitung.

Dokumentieren Sie den gesamten Prozess sowie die vorgenommenen Bewertungen und Entscheidungen. Diese Dokumentation ist nicht nur wichtig für die Rechenschaftspflicht, sondern auch für die Nachweisbarkeit gegenüber Aufsichtsbehörden.

Durchführung einer Datenschutz-Folgenabschätzung

Die Durchführung einer Datenschutz-Folgenabschätzung ist ein essenzieller Bestandteil eines verantwortungsvollen Datenschutzmanagements. Sie hilft dabei, rechtliche Verpflichtungen zu erfüllen. Bei Fragen zur Durchführung einer DSFA oder zur Umsetzung von Datenschutzmaßnahmen stehen wir Ihnen gerne zur Verfügung.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Bewerten Sie diesen Beitrag
1 Bewertungen
Datenschutz-Folgenabschätzung: Wann und wie?
Anfrage