Datenschutz-Folgenabschätzungen erfolg­reich durchführen

Die Datenschutz-Grundverordnung (DSGVO) sieht für bestimm­te Hochrisiko-Verarbeitungen per­so­nen­be­zo­ge­ner Daten die Pflicht vor, eine Datenschutz-Folgenabschätzung (DSFA) vor­zu­neh­men. In der Pra­xis ist das häu­fi­ger der Fall, als man auf den ers­ten Blick den­ken könn­te. Nicht erst bei Video­über­wa­chun­gen, son­dern bereits bei all­täg­li­chen Vor­gän­gen in Unter­neh­men wie der Nut­zung von Micro­soft 365 oder ande­rer Cloud-Dienste kann eine DSFA erfor­der­lich sein. Auch die Umset­zung neu­er Pflich­ten zum Schutz von Whist­le­b­lo­wern, die sich aus dem neu­en Hin­weis­ge­ber­schutz­ge­setz erge­ben, machen regel­mä­ßig eine DSFA erforderlich.

Micro­soft 365 und ande­re Cloud-Dienste

Der Ein­satz von Micro­soft 365 ist in öffent­li­chen Stel­len und Unter­neh­men wei­ter­hin daten­schutz­recht­lich zuläs­sig, wenn bestimm­te Vor­keh­run­gen getrof­fen wer­den. Das gilt auch für vie­le ande­re Cloud-Dienste. Allein der Umfang der ver­ar­bei­te­ten Daten und die daten­schutz­recht­li­chen Risi­ken, die der Ein­satz von Cloud-Diensten mit sich bringt, machen jedoch häu­fig eine DSFA erfor­der­lich, die zugleich als ele­men­ta­rer Bau­stein der Datenschutz-Compliance die­nen kann.

Whist­le­b­lo­wing

Vie­le Unter­neh­men beschäf­tigt zur­zeit der Daten­schutz bei der Umset­zung des Hin­weis­ge­ber­schutz­ge­set­zes. Bereits bei mehr als 50 Beschäf­tig­ten besteht die Pflicht, inter­ne Mel­de­we­ge ein­zu­rich­ten. Unter­neh­men mit in der Regel 50 bis 249 Beschäf­tig­ten haben dafür Zeit bis zum 17. Dezem­ber 2023. Für alle ande­ren besteht die Ver­pflich­tung bereits drei Mona­te nach der Ver­kün­dung des Geset­zes im Bun­des­ge­setz­blatt. Mel­dun­gen von Whist­le­b­lo­wern kön­nen sen­si­ble Daten in Bezug auf den Hin­weis­ge­ber selbst, aber auch auf die Per­so­nen, denen mög­li­che Geset­zes­ver­stö­ße ange­las­tet wer­den, ent­hal­ten. Ins­be­son­de­re wenn inter­ne Mel­de­we­ge digi­tal aus­ge­stal­tet sind, ist daher eine DSFA sinn­voll und im Regel­fall gesetz­lich erforderlich.

Was droht Unter­neh­men bei Nichtdurchführung?

Wird eine DSFA nicht durch­führt, obwohl sie gesetz­lich erfor­der­lich ist, dro­hen Buß­gel­der der Daten­schutz­auf­sichts­be­hör­den. Gegen einen Auto­mo­bil­her­stel­ler wur­de im Jahr 2022 bei­spiels­wei­se wegen meh­re­rer Daten­schutz­ver­stö­ße ein Buß­geld in Höhe von 1,1 Mil­lio­nen Euro ver­hängt. Einer der gerüg­ten Daten­schutz­ver­stö­ße war eine feh­len­de DSFA. Dar­über hin­aus ist es im wohl­ver­stan­de­nen Eigen­in­ter­es­se von Unter­neh­men, bei ris­kan­ten Ver­ar­bei­tun­gen eine DSFA durch­zu­füh­ren. Bei Ermitt­lun­gen und Rück­fra­gen der Daten­schutz­auf­sichts­be­hör­den liegt mit einer DSFA eine umfang­rei­che Doku­men­ta­ti­on vor, mit der die Datenschutz-Compliance im Unter­neh­men nach­ge­wie­sen wer­den kann.

Die Datenschutz-Folgenabschätzung in der Praxis

In Art. 35 Abs. 7 DSGVO ist expli­zit gere­gelt, was die Abschät­zung ent­hal­ten muss. Dazu gehört min­des­tens eine sys­te­ma­ti­sche Beschrei­bung der geplan­ten Ver­ar­bei­tungs­vor­gän­ge, eine Bewer­tung der Ver­hält­nis­mä­ßig­keit und der Risi­ken für die betrof­fe­nen Per­so­nen sowie geplan­te Abhil­fe­maß­nah­men, um die Risi­ken zu bewäl­ti­gen. Wei­te­re Infor­ma­tio­nen dazu fin­den Sie in unse­rem One­pager zur erfolg­rei­chen Durch­füh­rung von Datenschutz-Folgenabschätzungen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.