Datenschutz-Folgenabschätzung: Hohes Risiko für die Betroffenen – und ein Risiko für die Verantwortlichen

Die Datenschutz-Folgenabschätzung (DSFA) ist ein Baustein des mit der DSGVO neu eingeführten Konzepts des „risikoorientierten Ansatzes“. Unter diesem Begriff versteht die Datenschutz-Grundverordnung die Risikobewertung einer möglichen Verletzung des Rechts auf informationelle Selbstbestimmung im Zusammenhang mit einer Verarbeitung personenbezogener Daten. Dieses Risiko betrifft auf einer primären Ebene den Betroffenen. Auf sekundärer Ebene mündet es auch in ein unternehmerisches Risiko, und zwar in Form der Rechenschaftspflicht für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten.

Die Datenschutz-Folgenabschätzung ermittelt und bewertet im Rahmen der DSGVO, ob die Verarbeitung personenbezogener Daten mit einem hohen Risiko für die Betroffenen verbunden ist. (Copyright: sdecoret/adobe.stock) 

Primäre Ebene: Abschätzung des Risikos für die Betroffenen 

Die Datenschutz-Grundverordnung sieht für die Verarbeitung personenbezogener Daten mit „hohem Risiko“ für die Betroffenen eine Datenschutz-Folgenabschätzung vor (Art. 35 DSGVO). Um zu ermitteln, ob ein „hohes Risiko“ vorliegt, muss von jedem Verantwortlichen eine Schwellenwertanalyse durchgeführt werden. Diese risikobasierte Bewertung (Vorbereitungsphase) ist für jeden Verantwortlichen vorgesehen, auch wenn es im Ergebnis möglicherweise keiner besonderen Folgenabschätzung bedarf. In der praktischen Umsetzung sind Ausgangspunkt dieses Verfahrens die Verzeichnisse über die Verarbeitungstätigkeiten. Diese Verarbeitungsprozesse sollten unter anderem an der konzertierten „Muss-Liste“ der Datenschutz-Konferenz gemessen werden. Das Ergebnis der gesamten Abschätzung muss zwingend dokumentiert werden, auch um der Rechenschaftspflicht auf sekundärer Ebene gerecht zu werden.

Sekundäre Ebene: Rechenschaftspflicht der Unternehmen

Die Datenschutz-Folgenabschätzung ist Teil der generellen und umfassenden Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO). Die Folgenschätzung soll bewirken, dass auf Seiten des Verantwortlichen im Falle eines relevanten hohen Risikos gezielt Maßnahmen gefunden werden können, die dieses hohe Risiko für die Betroffenen eindämmen. Die Schwellenwertanalyse und ggf. die Dokumentation der erforderlichen Maßnahmen werden durch die DSGVO eingefordert. In der Rechenschaftspflicht besteht ein unternehmerisches Risiko, dem mit der Datenschutz-Folgenabschätzung begegnet werden kann.

Eine komprimierte Darstellung der Erwartung von Seiten der Datenschutz-Konferenz finden Sie in deren Kurzpapier Nr. 5. Bei der praktischen Umsetzung unterstützen wir Sie gerne, um Ihr Risiko zu minimieren.

Maßgeschneiderte DSFA-Beratungspakete von MEYER-KÖRING

MEYER-KÖRING hat speziell für die Datenschutz-Folgenabschätzung (DSFA) maßgeschneiderte Beratungspakete entwickelt, zwei davon sogar zum attraktiven Festpreis. Die Leistungen sind auf den individuellen Bedarf von Unternehmen zugeschnitten und umfassen wahlweise nur die Schwellenwertanalyse (Paket 1), die Schwellenwertanalyse plus die beispielhafte Folgenabschätzung anhand eines Verfahrens (Paket 2) oder nach Wunsch auch die vollständigen Datenschutzfolgenabschätzungen (Paket 3). Informationen zum genauen Leistungsumfang sowie die Preise finden Sie in der Angebotsbeschreibung.

Falls Sie Rückfragen oder Beratungsbedarf haben, melden Sie sich – wir sind gerne für Sie da!