DSFA - Datenschutzfolgenabschätzung


Hohe Risiken im Umgang mit personenbezogenen Daten

Jedes Unternehmen verarbeitet personenbezogene Daten. Damit entstehen mehr oder weniger hohe Risiken für die Betroffenen. Diese müssen durch entsprechende Technisch-organisatorische Maßnahmen (TOM) so gering wie möglich gehalten werden.
Für eine Verarbeitung von personenbezogenen Daten, bei denen besonders hohe Risiken bestehen, sieht die Datenschutzgrundverordnung vor, dass eine Risikoanalyse in Form einer Datenschutzfolgenabschätzung durchgeführt werden muss. 
Das bedeutet, dass das Unternehmen verpflichtet ist, die Verarbeitung der Daten genau auf mögliche Risiken zu prüfen.


Welche Verarbeitungen betroffen sind, ist vom Unternehmen selbst einzuschätzen. Außerdem gibt es Listen der Aufsichtsbehörden (DSK), für Verarbeitungen, für die in jedem Fall eine DSFA erforderlich ist (https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf). Darunter fallen seit Einführung der KI-Verordnung auch bestimmte KI-Anwendungen.


Das klingt sehr theoretisch – wie sollte ein Unternehmen da herangehen?

  1. Prüfen, ob die Verarbeitung überhaupt erforderlich ist und welchem Zweck diese Verarbeitung dient.
  2. Bilden Sie das DSFA-Team - je nach Verarbeitung sollten diejenigen beteiligt werden, die diese Verarbeitung am besten kennen
  3. Genaue Beschreibung der Daten und deren Verarbeitung
  4. Einschätzen der Höhe bzw. Schwere der Schäden, die für einen Betroffenen entstehen können.
  5. Einschätzen der Wahrscheinlichkeit, mit der es zu einer Datenpanne und der Offenlegung der Daten kommen kann (Eintrittswahrscheinlichkeit).
  6. Ermittlung der möglichen Folgen für Betroffene, die sich aus der Höhe eines Schadens und seiner Eintrittswahrscheinlichkeit ergeben. Dies wird oft anhand einer Risikomatrix dargestellt.
  7. Festlegen der Grenze, ab der die Folgen für Betroffenen als nicht akzeptabel erachtet werden.
  8. Entscheidung welche Maßnahmen für die Reduzierung der jeweiligen Risiken erforderlich werden.
  9. Mögliche Ergebnisse einer DSFA
    a.    Die Verarbeitung wird eingestellt bzw. nicht begonnen
    b.    Es werden Maßnahmen ergriffen, mit denen das Risiko auf ein akzeptables Maß reduziert werden kann.
    c.    Das Risiko wird getragen – dann sollte sich der Verantwortliche jedoch darüber bewusst sein, dass er damit ggf. gegen geltendes Datenschutzrecht verstößt und es zu Bußgeldern und auch zu Vertrauensverlust der eigenen Kunden kommen kann.
  10. Dokumentation der Ergebnisse der DSFA
  11. Die Ergebnisse einer Datenschutzfolgeabschätzung sind in regelmäßigen Abständen zu überprüfen, ob sich durch neue Erkenntnisse eine geänderte Einschätzung des Risikos bzw. der Folgen für die Betroffenen ergibt, oder sich durch verbesserte Abhilfemaßnahmen das Risiko verringern lässt!

Wollen Sie mehr wissen oder benötigen Sie Unterstützung. Vereinbaren Sie unverbindlich einen Termin und wir schauen gemeinsam, wie Sie Ihre DSFAS professionell durchführen können.