Datenschutz-Folgenabschätzung
Unser neues Whitepaper zeigt Ihnen – mit einem verständlichen und strukturierten Ansatz – die praxisnahe Vorgehensweise bei einer DSFA. Es bietet einen praxisorientierten Überblick über die zentralen Fragen einer DSFA und legt dabei Schwerpunkte auf die Vorbereitungsphase der DSFA, die Durchführung und Dokumentation und schließlich auf die Risikoanalyse. Ergänzt wird das Whitepaper durch repräsentativere Anwendungsbeispiele, wie Microsoft 365, Videoüberwachung, 360-Grad-Feedback, dem Einsatz künstlicher Intelligenz und automatisierter Prozesse.
Die DSFA mit Risikoanalyse als zentraler Baustein im Datenschutz-Management
Die Datenschutz-Folgenabschätzung (DSFA) ist wesentlicher Bestandteil des Datenschutz-Managements. Eine DSFA ermöglicht es, Verarbeitungsvorgänge im Unternehmen danach zu beurteilen, ob sie für die Rechte und Freiheiten der betroffenen Personen, etwa Kunden oder Geschäftspartner, ein erhöhtes Risiko darstellen könnten. In solchen Fällen verpflichtet Art. 35 DSGVO die für die Datenverarbeitung verantwortlichen Unternehmen zu einer systematischen und umfassenden Analyse und Bewertung der Folgen der Verarbeitung. Auf dieser Basis soll die DSFA die für die Verarbeitung Verantwortlichen dabei unterstützen, angemessene Schutzmaßnahmen zu treffen, um etwaige Risiken zu verhindern oder zumindest zu mindern. Diese Prüfung, die üblicherweise in Form eines DSFA-Berichts dokumentiert wird, muss bei Bedarf – oder bei hohem Risiko sogar verpflichtend – der Aufsichtsbehörde vorgelegt werden. Damit ist sie ein Instrument, um die Rechenschaftspflicht der DSGVO zu erfüllen und verhindert Sanktionen durch die Aufsichtsbehörden.
Wir haben umfassende Erfahrung in der Vorbereitung, Begleitung und gemeinsamen Durchführung von Datenschutz-Folgenabschätzungen mit Unternehmen in interdisziplinären Teams und wissen: Eine gute DSFA ist mehr als die reine juristische Prüfung. Sie erfordert die Kooperation aller Beteiligten, das Wissen und das Verständnis hinsichtlich der verwendeten Technik, der konkreten Datenverarbeitung und der organisatorischen Aspekte.
In den vergangenen Jahren hat unser Team eine Vielzahl von Datenschutz-Folgenabschätzungen erfolgreich für unsere Mandanten durchgeführt. Dabei haben wir eine große Bandbreite an Verarbeitungstätigkeiten geprüft und begleitet, u.a. neuartige Technologien, Cloud- und Konferenz-Tools, KI-Anwendungen und klinische Studien. Dabei waren wir insbesondere in regulierten und sensiblen Bereichen wie dem Gesundheits-, Banken- und Versicherungssektor tätig. Im Jahr 2020 haben wir so die Datenschutz-Folgenabschätzung für die Corona-Warn-App der Bundesregierung gemeinsam mit einem interdisziplinären Team durchgeführt. Auch haben wir die Verarbeitungsprozesse innerhalb von Microsoft 365 im Rahmen einer DSFA ausführlich geprüft und bewertet. Unser Ziel ist es, auch Ihr Unternehmen mit unserer großen Sachkenntnis im Bereich der Datenschutz-Folgenabschätzung voranzubringen.
Warum ist die DSFA für Ihr Unternehmen relevant?
Mit der Datenschutz-Folgenabschätzung erfüllt Ihr Unternehmen die Pflichten aus Art. 35 DSGVO und kann den Nachweis in Form eines DSFA-Berichts gegenüber der Aufsichtsbehörde erbringen. Nach der systematischen Beschreibung der Verarbeitungstätigkeit und ihren Zwecken, wird im Rahmen der DSFA die Notwendigkeit und Verhältnismäßigkeit des Verfahrens beurteilt. Zudem werden potentiell risikobehaftete Verarbeitungstätigkeiten identifiziert und können so rechtzeitig durch die Implementierung von organisatorischen und technischen Maßnahmen (TOM) datenschutzkonform ausgestaltet werden. Hierzu enthält die DSFA eine umfassende Risikoanalyse, welche wichtige Gewährleistungsziele aus Datenschutz und -sicherheit wie Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit, Transparenz, Datenminimierung, Intervenierbarkeit und Nichtverkettung betrachtet. Auf dieser Grundlage werden passende Abhilfemaßnahmen zur Reduzierung der Risiken für die Umsetzung in Ihrem Unternehmen erarbeitet. So gewährleisten Sie in Ihrem Unternehmen, etwa auch beim Einsatz neuer Technologien oder der Verarbeitung sensibler Daten, eine datenschutzkonforme Verarbeitung.
Wie führen wir die DSFA zusammen mit Ihnen durch?
Eine Datenschutz-Folgenabschätzung ist ein umfassender und interdisziplinärer Prozess, der in der Regel die Zusammenarbeit verschiedener Fachbereiche Ihres Unternehmens mit unseren erfahrenen Anwältinnen und Anwälten erfordert. Zunächst prüfen wir, ggf. verknüpft mit dem Verzeichnis der Verarbeitungstätigkeiten (VVT), die Erforderlichkeit der DSFA. Danach planen wir gemeinsam mit Ihnen die Durchführung der DSFA, bilden ein DSFA-Team und führen Interviews mit den Projektverantwortlichen oder übermitteln Fragebögen, um den genauen Umfang des Vorhabens zu erfassen. Diese Informationsbeschaffung und Absprache ist zentral, um eine qualitativ hochwertige und inhaltlich richtige DSFA durchzuführen. Je nach Komplexität und Umfang der konkreten Datenverarbeitung und der uns übermittelten Dokumente und Unterlagen, kann dann die Durchführung der DSFA wenige Tage bis hin zu mehreren Wochen dauern. In diesem Rahmen erörtern wir mit Ihnen, welche technischen und organisatorischen Maßnahmen noch nötig sind, um das Risiko für den Datenschutz im Zusammenhang mit der Verarbeitungstätigkeit zu reduzieren. Diese werden in einem Maßnahmenplan festgehalten und anschließend implementiert. Zum Schluss beurteilt der Datenschutzbeauftragte die Verarbeitungstätigkeit und ob eine Vorabkonsultation der Aufsichtsbehörde nötig ist. Zudem legen wir mit Ihnen fest, wann die DSFA zu wiederholen oder unter welchen Bedingungen eine Erweiterung erforderlich ist. Im gesamten Prozess legen wir dabei großen Wert auf gute Absprache und Zusammenarbeit, um den Zeit- und Kostenaufwand für Ihr Unternehmen niedrig zu halten und zugleich die Qualität des Arbeitsergebnisses zu erhöhen.
Wie läuft die Risikoanalyse ab?
Die Risikoanalyse ist Kernbestandteil jeder Datenschutz-Folgenabschätzung. Sie ist die Basis dafür, zu beurteilen, ob mit der Verarbeitungstätigkeit ein hohes Risiko für die betroffenen Personen einhergeht und wie bestehende Risiken durch technische und organisatorische Maßnahmen reduziert werden können. So können wir gemeinsam mit Ihrem Unternehmen erörtern, welche Maßnahmen notwendig sind und ob im Ergebnis dann überhaupt noch eine Konsultation der Aufsichtsbehörde erforderlich ist. Bei der Risikobewertung fließen die Eintrittswahrscheinlichkeit und die möglichen Auswirkungen für die betroffenen Personen im Schadensfall ein. Dabei wird die Situation ohne Maßnahmen betrachtet. Anschließend werden ausgehend davon Abhilfemaßnahmen geprüft und ggf. weiterentwickelt. Danach wird, unter Berücksichtigung der bereits umgesetzten oder geplanten technischen und organisatorischen Maßnahmen, erneut eine Risikoprüfung vorgenommen. Aufgrund unserer Erfahrung mit der Beurteilung von Risiken und der Möglichkeiten zur Reduzierung derselben, können wir einen essentiellen Beitrag für Ihr Unternehmen leisten, damit Ihre geplante Verarbeitungstätigkeit Bestandteil Ihres Geschäftsmodells werden kann.
Welche Vorteile bieten wir Ihnen?
Wir haben bereits zahlreiche Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO begleitet und gemeinsam mit Mandanten durchgeführt. Deshalb verfügen wir über wertvolle Kenntnisse in der Planung, Umsetzung und Dokumentation einer DSFA. Dies ist von zentraler Bedeutung, da die DSGVO selbst kaum Vorgaben oder konkrete Handlungsanweisungen zur Durchführung einer DSFA macht, die unrichtige Durchführung jedoch erhebliche aufsichtsrechtliche Konsequenzen nach sich ziehen kann. Wir können sicher beurteilen, wann eine DSFA durchgeführt werden sollte. Außerdem haben wir sowohl Erfahrung darin, aufgrund unserer eigenen Konzepte eine hochwertige DSFA mit ihnen durchzuführen, als auch mit bestehenden Konzepten, wie etwa dem Standard-Datenschutzmodell (SDM) der deutschen Aufsichtsbehörden oder der PIA-Software der französischen Aufsichtsbehörde CNIL, zu arbeiten. Neben „DSFA-Dauerbrennern“, wie der Videoüberwachung oder dem HR-Bereich (Beschäftigtendatenschutz), haben wir auch umfassendes Wissen im Gesundheitsbereich, klinischen Studien oder der Forschung, dem Einsatz neuer Technologien, beim Profiling und Scoring sowie der Verwendung von Künstlicher Intelligenz (KI). Wir verfolgen dabei immer eine lösungsorientierte Herangehensweise und können darüber hinaus flankierend kompetente Empfehlungen und Vorschläge für weitergehende datenschutzrechtliche Maßnahmen, wie z.B. die Erstellung von Datenschutzhinweisen und Richtlinien, geben.
Mit uns gelingt die DSFA
Ob in ein übergeordnetes Datenschutz-Management eingebettet oder auf ein konkretes Projekt bezogen – wir sind Ihr Ansprechpartner für die Begleitung und Durchführung von Datenschutz-Folgenabschätzungen. Profitieren Sie von unserer Expertise in der Durchführung einer DSFA und den interdisziplinären Erfahrungen durch unsere Arbeit in verschiedenen Branchen. Mit uns erhalten Sie eine umfassende und vertiefte Rechtsberatung, die zur Lösung komplexer datenschutzrechtlicher Fragestellungen beiträgt und Ihr Projekt zum Erfolg führt. Wir wollen die Geschäftsideen Ihres Unternehmens verwirklichen und unterstützen Sie bei der Durchführung einer DSFA – damit Sie datenschutzkonform arbeiten und erfolgreich sind!
Sie suchen Datenschutzexperten, die Ihr Unternehmen beim operativen Datenschutz als unabhängige Datenschutzbeauftragte unterstützen? Dann empfehlen wir Ihnen unsere Kolleginnen und Kollegen unseres Schwesterunternehmens ISiCO – Datenschutz GmbH.
Haben Sie Fragen zur Datenschutz-Folgenabschätzung? Unsere Rechtsanwälte helfen Ihnen gerne weiter.