Eine Anleitung für die Datenschutz-Folgenabschätzung

Unternehmen können aufgrund der rasanten technologischen Entwicklung neue und innovative Geschäftsmodelle entwickeln.

Allerdings ändern Unternehmen ihre Arbeitsweise oft in einer Art und Weise, welche eine Verarbeitung großer Datenmengen erfordert. In diesem Fall müssen diese dann eine Datenschutz-Folgenabschätzung durchführen. Diese hilft Ihnen dabei, die Vorschriften besser zu verstehen und umzusetzen, was wiederum hilft, DSGVO Bußgelder zu vermeiden.

Jedes Mal, wenn Sie etwas ändern, müssen Sie gemäß der Datenschutz Grundverordnung (DSGVO) eine Folgenabschätzung durchführen. Die von Ihnen eingeleitete Änderung kann sowohl technologisch als auch strukturell sein. Unabhängig von der Art der Änderung müssen Sie eine Folgenabschätzung durchführen.

Wenn Sie keine Datenschutz-Folgenabschätzung durchführen, kann dies zu Geldbußen über 20 Millionen Euro oder 4% Ihres Jahresumsatzes führen, je nachdem welcher Betrag höher ist.

In diesem Artikel möchten wir Unternehmen ein grundlegendes Verständnis zum Thema Datenschutz-Folgenabschätzung vermitteln. Wir geben Ihnen auch Tipps, wie Sie eine solche durchführen können um DSGVO Bußgelder zu vermeiden.

Wer muss eine Datenschutz-Folgenabschätzung durchführen?

In unseren Recherchen das Thema betreffend haben wir noch keine endgültige Antwort auf diese Frage gefunden.

DSGVO Experten können sich nicht ausreichend dazu äußern.

Durch unsere Arbeit mit dem Thema konnten wir aber einige Anhaltspunkte finden, die zu verstehen helfen, ob eine Datenschutz-Folgenabschätzung notwendig ist oder nicht. Nachfolgend finden Sie die wichtigsten Punkte. Wenn einer oder mehrere dieser auf sie zutrifft, ist eine Datenschutz-Folgenabschätzung empfehlenswert, um DSGVO-Geldbußen zu vermeiden:

 

  • Wenn Ihr Unternehmen Daten zu speziellen Kategorien verarbeitet (siehe Definition von Datenkategorien, die in der DSGVO erwähnt sind, um mehr zu erfahren).
  • Unternehmen/Organisationen, die Daten in großem Umfang verarbeiten (siehe Abschnitt Definition von großen Datenmengen).
  • Wenn Ihre Organisation/Firma von Individuen Profile erstellt.
  • Wenn Ihr Unternehmen/Organisation seine Dienstleistungen/Produkte direkt an Kinder richtet.

 

Artikel 35 DSGVO erlaubt es den Datenschutzbehörden auch, schwarze Listen der Verarbeitungs-Tätigkeiten zu erstellen. Diese Listen enthalten alle Aktivitäten, für die Sie eine Datenschutz-Folgenabschätzung durchführen müssen, um DSGVO-Bußen zu vermeiden.

Sie können diese auch Ihrer Datenschutz-Folgenabschätzung-Vorlage hinzufügen, um später darauf zurückzukommen. Hier ist eine Liste, die sich die deutschen Behörden ausgedacht haben.

 

Im Folgenden finden Sie die Antwort von Daniela Duda (einer renommierten Spezialistin in Deutschland) auf diese Frage.

Was ist eine Datenschutz-Folgenabschätzung?

Die Europäische Union (EU) hat die Datenschutz-Folgenabschätzung als Instrument im Rahmen der Datenschutz Grundverordnung (DSGVO) eingeführt. Die DSGVO empfiehlt sie, um die Risiken, die Verarbeitungstätigkeiten in einem Unternehmen mit sich bringen, besser einschätzen zu können.

Wenn Sie eine neue Technologie in Ihrem Unternehmen einführen, die Verarbeitungstätigkeiten automatisiert, müssen Sie eine Bewertung durchführen. Sie hilft, die Risiken der Verarbeitung zu bewerten und letztendlich zu reduzieren. Wenn Sie zu dem Schluss kommen, dass eine Verarbeitungstätigkeit zu einem erheblichen Schaden für die betroffenen Personen führen kann, konsultieren Sie bitte auch Ihre Datenverarbeitungsvereinbarung.

Die Datenschutz-Folgenabschätzung hilft Ihnen bei der Organisation Ihrer Projekte und gleichzeitig, die Geldbußen der DSGVO zu umgehen.

Was sagt die DSGVO über die Datenschutz-Folgenabschätzung?

Gemäß Artikel 35 sind Sie als Controller für die Durchführung einer Abschätzung verantwortlich:

(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien,aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.

(2) ….

(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

    1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
    2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
    3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Artikel 35 Absatz 3 DSGVO (siehe oben) legt die Regeln fest, wann genau eine Bewertung durchgeführt werden muss. Kurz gesagt, es heißt, dass Sie für jede Art von Verarbeitung eine Folgenabschätzung durchführen müssen.

Besonders wichtig wird es, wenn Sie neue Technologien einführen und analysieren, wie Daten mit diesen Technologien verarbeitet werden.

Darüber hinaus müssen Sie Art, Umfang, Kontext und Zweck der Verarbeitung selbst berücksichtigen. Wenn Sie ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen erkennen, dann müssen sie das Projekt neu planen, um diese Risiken zu minimieren. Sie müssen vor Projektbeginn eine Datenschutz-Folgenabschätzung integrieren. Als Verantwortlicher müssen Sie sich zudem bei hohen Risiken mit der zuständigen Datenschutzbehörde abstimmen.

Wenn Sie die Datenschutz-Folgenabschätzung erstellen oder für die Verwendung durch Ihr Unternehmen anpassen, fügen Sie den Artikel der DSGVO hinzu. Diese kann dann als Orientierungsgrundlage herangezogen werden und man kann sich jederzeit darauf berufen.

Definition von Art, Umfang und Kontext

Damit das leichter zu verstehen ist, hier ein Beispiel:

Ein Krankenhaus erfasst und verarbeitet die Gesundheitsdaten seiner Patienten.

Die Art der Daten ist dabei der Datentypen der verarbeitet wird.

Zum Beispiel, ein Arzt nimmt eine Blutprobe und auf der Basis dieser Blutprobe verschreibt er eine Behandlung oder ein Medikament, damit sich die Person erholen kann.

 

Diese Daten werden nach der DSGVO als PII kategorisiert. Der Umfang der Verarbeitung ist durch die Reichweite der Verarbeitungstätigkeit definiert – im Wesentlichen also wer Zugriff auf die Daten hat und wie viele Daten verarbeitet werden.

In unserem Beispiel untersucht ein Arzt 30 Patienten und erfasst ihre Informationen. Diese Daten können dann von 15 Ärzten, die Zugriff auf sie haben, verarbeitet werden, aber nicht von z.B. Pflegekräfte ohne diese Zugangsberechtigung.

Auch die Verarbeitung ist nicht automatisiert. Ein Arzt kann sich die gespeicherten Daten ansehen, aber es gibt keinen Algorithmus, der sie analysiert und eine Diagnose vorschlägt. In Zukunft können diese 15 Ärzte diese Daten auch zur Diagnose der Patienten nutzen, wie lang in die Zukunft muss jedoch auch in den Aufzeichnungen der Datenverarbeitungsvorgänge festgelegt sein, z.B. 5 Jahre. In diesem Beispiel wäre daher der Umfang der Verarbeitungstätigkeiten 30 Untersuchungsunterlagen, die von 15 Zugriffsberechtigten für 5 Jahre, nicht automatisiert verarbeitet werden können.

Der Kontext ist definiert als die Situation, in der die Daten erfasst und verarbeitet werden.

In diesem Fall ist es das Krankenhaus und die Rechtsgrundlage ist die Zustimmung. Wenn also ein Patient im Krankenhaus aufgenommen wird, muss dieser ausdrücklich seine Zustimmung zur Datenverarbeitung erteilen. Wenn dieser Patient, zu einem späteren Zeitpunkt wieder im Krankenhaus ist und die gleiche Art der Daten auf die gleiche Art verarbeitet werden, ist keine erneute Zustimmung notwendig. Wenn sich der Verarbeitungsprozess jedoch ändert ist in jedem Fall eine Zustimmung notwendig.

All diese Dinge, Art, Umfang und Dauer der Verarbeitungstätigkeit, müssen in der Datenschutz-Folgenabschätzung erwähnt und beschrieben werden.

Definition von Datenkategorien im Rahmen der DSGVO

Wenn Sie diese Kategorien verstehen, können Sie oder ihre Projektleiter problemlos Datenkategorien unterscheiden und eine Datenschutz-Folgenabschätzung durchführen.

 

Die Allgemeine Datenschutzverordnung definiert personenbezogene Daten als alle Informationen aufgrund derer eine natürliche Person identifiziert werden kann.

Diese Daten können berufliche Daten oder privater Natur sein. Dazu gehören auch Daten, durch die eine indirekte Identifikation mit Hilfe von Querverweisen möglich ist.

Ein Beispiel ist eine Matrikelnummer, die Ihnen an der Universität zugewiesen wurde, oder Ihre IP-Adresse.

Art 9 DSGVO legt fest in welcher Art und Weise besonders sensible Daten verarbeitet werden können. Dabei ist zu beachten, dass die DSGVO sensible Daten als solche Informationen definiert, welche Hinweise auf die rassische und ethnische Herkunft oder politische bzw. religiöse Ansichten einer Person geben könnten. Darunter fallen auch alle Daten, die die Gewerkschaftszugehörigkeit, Gesundheitsdaten oder andere biometrische Daten offenlegen.

Wenn Sie sensible oder personenbezogene Daten verarbeiten, müssen Sie dies, gem. DSGVO, in einem sogenannten Verzeichnis von Verarbeitungstätigkeiten dokumentieren. Diese Protokollführung ist für die gesamte Datenverarbeitung erforderlich.

 

Weitere Datenkategorien

 

Hier sind einige weitere Definitionen, gem. Pegasystems, die Sie vielleicht nützlich finden könnten:

Daten über Gesundheit werden der DSGVO als personenbezogene Daten definiert, die sich auf die körperliche oder geistige Gesundheit einer Person beziehen. Dazu gehört auch die Bereitstellung von Gesundheitsdiensten, die Informationen über den Gesundheitszustand eines Patienten preisgeben können.

 

Genetische Daten werden laut DSGVO als personenbezogene Daten definiert, die sich auf vererbte oder erworbene genetische Merkmale einer Person beziehen. So auch Daten, die einzigartige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern. Es sind alle Daten, die Sie aus einer Analyse einer biologischen Probe von der betreffenden natürlichen Person erhalten.

 

Biometrische Daten sind personenbezogene Daten aus spezifischen technischen Verarbeitungsprozessen, die sich auf die physikalischen, physiologischen oder verhaltensmäßigen Eigenschaften einer Person beziehen. Es sind alle Daten, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen. Beispiele sind Gesichtsbilder oder daktyloskopische Daten.

(Pegasystems, 2018)

 

Definition von Datenverarbeitung im Großen Umfang

 

Die Verarbeitung von Daten im „großen Stil“ ist schwer zu definieren, und es wird viel über die genaue juristische Bedeutung des Begriffes diskutiert.

Wenn Sie nun jedoch Daten in großem Umfang verarbeiten, müssen Sie eine Datenschutz-Folgenabschätzung durchführen, um keine DSGVO-Bußen zu erhalten. Also wann genau ist das notwendig?

Nach EC Europa:

„Die DSGVO definiert nicht, was ein Großprojekt ist.

Die WP29 empfiehlt, bei der Entscheidung, ob eine Verarbeitung in großem Umfang erfolgt, insbesondere die folgenden Faktoren zu berücksichtigen:

 

  • Die Anzahl der betroffenen Personen – entweder als eine bestimmte Anzahl oder als Anteil an der relevanten Bevölkerung.

 

  • Datenvolumen und/oder die Bandbreite der verschiedenen zu verarbeitenden Datenelemente
  • geplanten Verlauf und die bisheriger Dauer der Datenverarbeitungstätigkeit
  • Geografischer Umfang der Verarbeitungstätigkeit”

 

 

 

Was wir sicher wissen:

  • Wenn Sie Daten der Sonderkategorie verarbeiten, müssen sie, selbst wenn sie nur einen Datensatz haben, eine Datenschutz-Folgenabschätzung durchführen.
  • Als Freiberufler benötigen Sie bei einer überdurchschnittlich großen Anzahl von Datensätzen, eine Folgenabschätzung. Beispiele für Freelancer sind Ärzte, Anwälte oder andere Berufe, die mit Kunden zu tun haben. Eine beliebige Anzahl von Personen, die in Ihrem Fachgebiet über dem Durchschnitt liegt, gilt als großer Umfang.
  • Ebenso benötigen Sie als Unternehmen, in dem die Datenverarbeitung ein integraler Bestandteil Ihres Unternehmens ist, eine Datenschutz-Folgenabschätzung. Wenn es sich um eine regelmäßige Tätigkeit handelt, können Sie anhand der folgenden Faktoren begründen, warum Sie oder warum Sie keine Daten in großem Umfang verarbeiten: Anzahl der betroffenen Personen, Umfang der personenbezogenen Daten und geografische Standorte.

Hier sind einige Beispiele, die Sie in Ihre Datenschutz-Folgenabschätzung Vorlage integrieren können:

„…Verarbeitung von Patientendaten im regulären Geschäftsbetrieb durch ein Krankenhaus, Verarbeitung von Reisedaten von Einzelpersonen mit Hilfe des öffentlichen Personennahverkehrs einer Stadt (z.B. Tracking über Fahrkarten), Verarbeitung von Echtzeit-Geo-Standortdaten von Kunden einer internationalen Fast-Food-Kette zu statistischen Zwecken durch einen auf diese Tätigkeiten spezialisierten Prozessor, Verarbeitung von Kundendaten im regulären Geschäftsbetrieb durch eine Versicherungsgesellschaft oder eine Bank Verarbeitung von personenbezogenen Daten für verhaltensorientierte Werbung durch eine Suchmaschine, Verarbeitung von Daten (Inhalt, Verkehr, Standort) durch Telefon- oder Internetanbieter. [All diese stellen groß angelegte Verarbeitung dar]

 

Beispiele, die keine groß angelegte Verarbeitung darstellen, sind:

die Verarbeitung von Patientendaten durch einen einzelnen Arzt Bzw. Verarbeitung personenbezogener Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten durch einen einzelnen Rechtsanwalt“

(EC Europa, 2018)

Als Leitfaden für Ihre Datenschutz-Folgenabschätzung, der Ihnen effektiv hilft, Bußgelder zu vermeiden, können Sie diese Beispiele in Ihre Datenschutz-Folgenabschätzungs-Vorlage aufnehmen, um diese als Werkzeug zum Verständnis des Prozesses zu nutzen. Verschiedene Projektmanager können sich dann auf das gleiche Dokument beziehen.

Wann ist es notwendig, eine Datenschutz-Folgenabschätzung durchzuführen?

 

Sie müssen eine Datenschutz-Folgenabschätzung, wenn Sie systematisch und umfassend Daten erfassen. Sie müssen sie auch durchführen, wenn Sie wichtige Entscheidungen über Menschen treffen. Vor allem, wenn dies durch automatisierte Prozesse oder Algorithmen geschieht. Wenn Sie neue Technologien zur groß angelegten Datenverarbeitung einsetzen, müssen Sie eine Folgenabschätzung durchführen.

 

Wenn Sie eine Technologie verwenden, die Daten einer besonderen Kategorie oder Daten zu Straftaten verarbeitet, muss eine Bewertung durchgeführt werden. Jede Technologie, mit der Sie personenbezogene Daten und Daten zu Straftaten verarbeiten, benötigt eine entsprechende Datenschutz-Folgenabschätzung.

 

Wenn Sie Profiling verwenden, führen automatisierte Entscheidungsfindung und Verarbeitung von Daten spezieller Kategorien dazu, dass eine Folgenabschätzung notwendig wird. Besonders wenn Sie diese Prozesse nutzen, um Entscheidungen über Opportunities zu treffen und den Zugang zu diesen Opportunities, Dienstleistungen oder Unterstützungsleistungen zu erhalten. Zum Beispiel, um einen Telefon- oder Netzvertrag von einem Träger oder ein Darlehen von einer Bank zu erhalten.

 

Regelmäßige und systematische Verarbeitung

Wenn Ihre Organisation eine regelmäßige und systematische Überwachung durchführt, ist eine Datenschutz-Folgenabschätzung erforderlich.

EC Europa fasst den Begriff der systematischen Überwachung zusammen:

„Der Begriff der regelmäßigen und systematischen Überwachung von betroffenen Personen ist in der DSGVO nicht definiert. Aber sie umfasst eindeutig alle Formen der Ortung und Profilerstellung im Internet, auch für Zwecke der verhaltensorientierten Werbung. Der Begriff der Überwachung ist jedoch nicht auf die Online-Umgebung beschränkt.“

Wenn Sie Daten aus mehreren Quellen kombinieren und darauf zugreifen, um sie zu vergleichen oder abzugleichen, wird auch die Erstellung einer Datenschutz-Folgenabschätzung empfohlen. Zum Beispiel die Erstellung von Käufer-Profilen aus Daten, die Sie aus öffentlichen Profilen in den sozialen Medien oder dem Online-Shopping-Verhalten erhalten. Wenn Sie den Online- oder Offline-Standort verfolgen und Daten durch ihn generieren, ist eine Datenschutz-Folgenabschätzung auch unerlässlich.

Wenn Ihr Unternehmen personenbezogene Daten von Kindern verarbeitet, müssen Sie eine Bewertung durchführen. Selbst wenn Sie dies durch automatisierte Entscheidungsfindung oder für das Marketing tun, erfordert dies eine Folgenabschätzung. Die werden sich auch von der zuständigen Datenschutzbehörde beraten lassen müssen, wenn die Dienstleistung oder das Produkt direkt an Minderjährige vermarktet wird.

Wenn Sie feststellen, dass die Verarbeitung personenbezogener Daten zu einem Risiko von Körperverletzungen führen kann, ist eine Bewertung erforderlich. Körperliche Schäden im Rahmen der DSGVO gelten als sehr schwerwiegend.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

Unternehmen müssen vor Projektbeginn, insbesondere jedoch vor Beginn der Datenverarbeitung, eine Datenschutz-Folgenabschätzung durchführen.

Schritt 1: Beschreibung der Verarbeitung

Sie müssen Art, Umfang, Kontext und Zweck der Verarbeitung detailliert beschreiben. Stellen Sie sicher, dass Sie Ihre Datenverarbeiter bitten, mit Ihnen zu kooperieren, um die von Ihnen durchgeführten Verarbeitungstätigkeiten vollständig zu verstehen, zu dokumentieren und alle damit verbundenen Risiken zu identifizieren.

Wenn Sie beispielsweise das Einkaufsverhalten verfolgen, würden Sie den Umfang des Trackings definieren. Was genau verfolgen Sie? Verfolgen Sie, was die Verbraucher kaufen, welche Produkte sie betrachten, wie lange sie sich ein Produkt ansehen? Das muss klar und deutlich zum Ausdruck gebracht werden.

Sie müssen auch angeben, warum genau Sie das Tracking durchführen: um nützliche, personalisierte Empfehlungen abzugeben. Beantworten Sie die Frage, wie Sie die Daten schützen, wo sich die Server befinden, was ist die Notwendigkeit der Verarbeitungstätigkeit und grundsätzlich alle Fragen, die Sie sich stellen würden, wenn Sie Ihre Aufzeichnungen der Verarbeitungstätigkeit erstellen. All diese Informationen müssen für jede Verarbeitungstätigkeitt dokumentiert werden.

Schritt 2: Identifizieren Sie die Risiken der Verarbeitungstätigkeit

Arbeiten Sie mit Ihrem Team zusammen, um alle Risiken zu identifizieren, die diese Aktivität für die Rechte und Freiheiten der Personen, von denen Sie die Daten erfassen, mit sich bringen könnte. Prüfen Sie, ob die Verarbeitung für Ihre Zwecke notwendig und verhältnismäßig ist und beschreiben Sie, wie Sie die Einhaltung der Datenschutzvorschriften sicherstellen. Die Bewertung der Schwere der Risiken für die Rechte und Interessen eines Individuums muss so objektiv wie möglich erfolgen.

Schritt 3: Dokumentieren Sie alles!

All dies müssen Sie für Ihre Datenschutz-Folgenabschätzung dokumentieren, einschließlich aller Unstimmigkeiten, die Sie mit Ihrem Datenschutzbeauftragten (DSB) haben. Nach der Dokumentation können Sie die Maßnahmen, in Sie in Ihre Projektplanung integriert haben, umsetzen.

Hauke Holtkamp rät Unternehmen, „…Statistiken zu verfolgen, anstatt Profile zu erstellen.“ Er arbeitet am Beispiel von ECOMPLY.io:

„Wir wollen verstehen, wie unsere Nutzer jeden Schritt durchlaufen, um die Anforderungen der DSGVO zu erfüllen und um zu sehen, wie viel Zeit unsere Nutzer für jeden Schritt aufwenden, damit wir die App besser machen können, indem wir die Schritte weiter analysieren, bei denen die meisten User Probleme haben. Das kann leicht anonym nachvollzogen werden, indem wir keine Profile unserer Benutzer erstellen. Wir sehen uns  einfach nur Statistiken über jeden Schritt an. Auf diese Weise integrieren wir die Prinzipien des Datenschutzes in unsere App.“

Indem man diesem Ratschlag folgt, kann man verhindern, dass eine Datenschutz-Folgenabschätzung überhaupt notwendig wird.

Herausforderungen bei der Durchführung  der Datenschutz-Folgenabschätzung

Wenn Unternehmen externe Parteien mit der Durchführung einer Datenschutz-Folgenabschätzung beauftragen, besteht die Herausforderung darin, dass Kunden die Folgenabschätzung nicht durchführen wollen, da sie sich nicht bewusst sind, was sie darstellt und welche Folgen sie haben könnte. Daher besteht in der Regel die Befürchtung, dass die Durchführung einer solchen Maßnahme zu eingeschränkten Geschäftspraktiken und -optionen führen könnte.

Ein weiteres Problem ist der Mangel an Informationen, die notwendig sind, eine Folgenabschätzung vollständig durchzuführen. Dies hat zwei Gründe: Zum einen ist die DSGVO relativ neu und es bestehen viele Unklarheiten und zum Anderen ist nur ein kleiner Prozentsatz aller Unternehmen mit der Verordnung konform. Das bedeutet, dass sie sich ihrer Datenpfade und -verläufe nicht vollständig bewusst sind, was die Dokumentation im DPIA etwas schwierig macht.

Die Datenschutz-Folgenabschätzung hat auch die negative Konnotation, dass sie äußerst mühsam und zeitaufwändig ist. Dies entmutigt die Unternehmen, eine Einschätzung vorzunehmen oder Zeit und finanzielle Mittel in sie zu investieren, selbst wenn sie mit hohen Geldbußen rechnen müssen.

Hauke Holtkamp, Mitbegründer von ECOMPLY.io, sagt nach einem Kundengespräch:

„Die größte Herausforderung für unsere Kunden ist es, herauszufinden, wo sie anfangen sollen, da es im Moment nicht viel Referenzmaterial gibt. Außerdem hängen viele Geschäftsmodelle von einigen nicht konformen Prozessen ab. Eine Folgenabschätzung ist jedoch ein nützliches Instrument, um zu erkennen, wo in Ihrem Unternehmen regelwidrige Prozesse stattfinden.“

Vorteile einer Datenschutz-Folgenabschätzung

Die Durchführung einer Datenschutz-Folgenabschätzung vor Projektbeginn ermöglicht es Ihnen, den Informationsfluss innerhalb des Projekts von Anfang an zu verfolgen.

  • Es wird Ihre Kommunikation zum Thema Datenschutz mit verschiedenen Interessengruppen verbessern.
  • Sie können bei Ihren Benutzern und Kunden das Vertrauen gewinnen, dass Sie ihre Daten verantwortungsbewusst verarbeiten.
  • Ihr Unternehmen kann sicherstellen, dass Ihre Nutzer nicht gefährdet sind, und die Kosten, für den Fall, dass ein Sicherheitsverstoß auftritt, reduzieren.
  • Es hilft Ihnen auch, die Betriebskosten zu senken, indem es den Informationsfluss optimiert.
  • Sie vermeiden DSGVO-Geldbußen, indem Sie die Einhaltung der Vorschriften sicherstellen.

Fazit

Die DSGVO ist noch eine relativ neue Gesetzgebung und Datenschutz-Folgenabschätzungen wurde zu diesem Zeitpunkt noch nicht von vielen Unternehmen durchgeführt. Es ist zunächst äußerst wichtig, den gesamten Datenfluss Ihres Unternehmens abzubilden, um zu verstehen, wie Daten durch Ihr Unternehmen fließen und verarbeitet werden.

Ihr Unternehmen sollte auch Mitarbeiter schulen, um festzustellen, wann Datenschutz-Folgenabschätzungen benötigt werden. Sie sollten dies als integralen Bestandteil der Compliance betrachten. Im Allgemeinen sollten Sie eine Datenschutz-Folgenabschätzunge für alle neuen Prozesse oder Organisationsmaßnahmen durchführen, die Sie ändern.

Laut Hauke Holtkamp:

“Eine Datenschutz-Folgenabschätzung zur Vermeidung von DSGVO-Strafzahlungen ist als Unternehmen unglaublich schwer durchführbar. Das erste, was Sie tun sollten, ist die Struktur Ihrer Prozesse zu strukturieren. Erstellen sie eine geordnete Liste der Prozesse und gehen Sie diese wie eine Checkliste, die angibt, welches Verfahren „schädlich“ und welches „harmlos“ ist, durch. Dies erleichtert die Strukturierung der Folgenabschätzung.

Stellen Sie am Ende hohe Risiken für bestimmte Prozesse fest, stellen Sie sicher, dass Sie Maßnahmen ergreifen, um diese Risiken zu reduzieren.”