Datenschutz-Folgenabschätzung (DSFA)

Risikomanagement im Datenschutz

Immer dann, wenn die Verarbeitung personenbzogener Daten voraussichtlich “ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge” beinhaltet, verpflichtet die DSGVO zur Durchführung einer so genannten Datenschutzfolgenabschätzung. Nur: Was genau ist eine Datenschutzfolgenabschätzung? Und wann bestehen für die Rechte und Freiheiten betroffener Personen entsprechend hohe Risiken?

Was ist eine Datenschutzfolgenabschätzung (DSFA)?

Bei einer DSFA handelt es sich im Kern um einen Risikomanagement-Prozess zur Analyse interner wie auch externer Risikofaktoren, ihren Auswirkungen und Eintrittswahrscheinlichkeiten. Neben der qualitativen oder auch quantitativen Bewertung jedes einzelnen Risikos erfordert eine DSFA auch die Benennung von Maßnahmen zur Risikominderung oder auch -beseitigung für jede Verarbeitungstätigkeit, die initial als „hohes Risiko“ für Betroffene einzustufen ist.

Wann ist eine Datenschutzfolgenabschätzung erforderlich?

Grundsätzlich ist eine DSFA immer dann erforderlich, wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen vorliegt. Wann genau das der Fall ist, (bspw. aufgrund einer drohenden Diskriminierung), lässt sich allerdings nicht pauschal beantworten - eine Einzefallbetrachtung ist in diesen Fällen immer unumgänglich. Faktoren, die in eine solche Entscheidung mit einfließen, sind laut Art. 35 Abs. 3 der DSGVO dabei unter anderem:

• der Grad der Automation bei der Verarbeitung personenbezogener Daten (z.B. im Rahmen eines automatisierten Profilings)
• die Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
• das Vorliegen einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche

Dem zweiten Punkt kommt dabei insbesondere im Gesundheits- bzw. im Versicherungswesen ein enorm hohes Maß an Relevanz zu, denn unter Art. 9 der DSGVO fallen auch alle Formen von Gesundheitsdaten, biometrische Daten oder auch Informationen zur sexuellen Orientierung einer Person. Krankenhäuser und Arztpraxen, aber auch Hersteller von Gesundheitsapplikationen, digitalen Gesundheitsanwendungen (DIGA) und Vermittler von Krankenversicherungen stehen hier schnell im Fokus.

Die Einzelfallbetrachtung zählt

Die abschließende Klärung der im jeweiligen Einzelfall erforderlichen Durchführung einer Datenschutzfolgenabschätzung bzw. die Evaulierung passender Maßnahmen zur Risikominimierung sollte immer in enger Zusammenarbeit mit dem Datenschutzbeauftragten erfolgen. Neben der Stellung eines externen Datenschutzbeauftragten mit entsprechender Expertise bieten wir Ihnen als SDG auch gesondert unsere Unterstützung in Form von juristischer Prüfung und Bewertung, Hilfe bei der Durchführung einer DSFA bzw. bei der Auswahl passender Software-Tools sowie bei der Erstellung situationsspezifischer und hinsichtlich der Bedürfnisse ihres Unternehmens individualisierter Dokumentvorlagen.

Ähnliche Themen

Auftragsverarbeitung

Verarbeiten Kooperationspartner Ihres Unternehmens personenbezogene Daten in Ihrem Auftrag? Dann ist es vermutlich erforderlich, diese Verarbeitung auf der Grundlage eines sogenannten Vertrags zur Auftragsverarbeitung (AV-Vertrag oder AVV) zu regeln.

Mehr erfahren

Verarbeitungsverzeichnis

Für die meisten Unternehmen besteht eine Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Ein solches Verzeichnis bietet allerdings auch die Chance, als Herzstück eines Datenschutzmanagement-Systems (DSMS) zu fungieren. Hierbei unterstütze wir Sie gerne.

Mehr erfahren

Informationssicherheit

Als Schutzziele der Informationssicherheit gelten Vertraulichkeit, Verfügbarkeit und Integrität. Zu diesem Zweck führen wir für Sie gerne interne Audits durch, bewerten Ihre technischen und organisatorischen Maßnahmen und prüfen die Sicherheit Ihrer Online-Auftritte mit Hilfe von Penetrationstests.

Mehr erfahren