ePrivacy hat k\u00fcrzlich eine Vorlage zur Erstellung einer Datenschutz-Folgenabsch\u00e4tzung (DSFA) herausgegeben und bringt damit Licht und Struktur in dieses Thema:<\/p>\n\n\n\n
Was genau versteht man unter einer DSFA?<\/strong> Die Kollegen von ePrivacy stehen Ihnen hierbei gerne zur Verf\u00fcgung. Kunden, die unseren ePrivacyaudit gebucht haben, k\u00f6nnen die Vorlage zur Erstellung einer DSFA dem Kapitel „Vorlagen\/Risikoanalyse\u201c entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":" ePrivacy hat k\u00fcrzlich eine Vorlage zur Erstellung einer Datenschutz-Folgenabsch\u00e4tzung (DSFA) herausgegeben und bringt damit Licht und Struktur in dieses Thema: Was genau<\/p>\n
Eine Datenschutz-Folgenabsch\u00e4tzung (DSFA) ist ein Verfahren zur Sicherstellung und zum Nachweis der Einhaltung gesetzlicher Anforderungen der DSGVO. Mit der DSFA werden besonders risikoreiche Datenverarbeitungen analysiert. Die einschl\u00e4gigen Vorschriften der DSGVO bilden den Rahmen f\u00fcr die Entwicklung und Durchf\u00fchrung einer DSFA. Dazu geh\u00f6ren insbesondere Art. 35 DSGVO<\/a> sowie die Erw\u00e4gungsgr\u00fcnde 84, 90, 91, 92 und 93 DSGVO.
Unter welchen Umst\u00e4nden muss eine DSFA durchgef\u00fchrt werden?<\/strong>
Die f\u00fcr die Verarbeitung Verantwortlichen<\/strong> m\u00fcssen eine DSFA durchf\u00fchren, wenn die vorangegangene Schwellwert- bzw. Risikoanalyse positiv ausf\u00e4llt. Im Rahmen der Risikoanalyse ist zu pr\u00fcfen, ob die Verarbeitung personenbezogener Daten, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umst\u00e4nde und der Zwecke der Verarbeitung \u201ewahrscheinlich ein hohes Risiko <\/strong>f\u00fcr die Rechte und Freiheiten nat\u00fcrlicher Personen mit sich bringt\u201c.
Bei der Durchf\u00fchrung der DSFA muss der Rat des Datenschutzbeauftragten eingeholt werden (sofern einer benannt wurde), Art. 35 Abs. 2 DSGVO. Dar\u00fcber hinaus muss der f\u00fcr die Datenverarbeitung Verantwortliche, sofern aus der DSFA hervorgeht, dass die Verarbeitung weiterhin (trotz Ma\u00dfnahmen) hohe Restrisiken birgt, vor der Verarbeitung die Aufsichtsbeh\u00f6rde konsultieren, Art. 36 DSGVO<\/a>.
Eine Ver\u00f6ffentlichung oder etwa Zusammenfassung der Ergebnisse kann vom Verantwortlichen in Betracht gezogen werden.
Wann ist eine DSFA zu erstellen?<\/strong>
Die Erstellung einer DSFA ist zum fr\u00fchestm\u00f6glichen Zeitpunkt<\/strong>, bereits vor den betreffenden Verarbeitungst\u00e4tigkeiten, durchzuf\u00fchren. Verantwortliche m\u00fcssen fortlaufend die Risiken bewerten, die ihre Verarbeitungsvorg\u00e4nge betreffen, um diese zu erkennen. Bei der DSFA handelt es sich somit um einen fortlaufenden Prozess<\/strong>, der bei st\u00e4ndigen Ver\u00e4nderungen ebenfalls dynamisch bleibt.
Was bedeutet die Nichtbeachtung?<\/strong>
F\u00fcr den Fall, dass eine DSFA nicht durchgef\u00fchrt wird, obwohl f\u00fcr die konkrete Verarbeitung erforderlich oder nicht ordnungsgem\u00e4\u00df durchgef\u00fchrt wird oder die zust\u00e4ndige Aufsichtsbeh\u00f6rde \u2013 obwohl vorgeschrieben \u2013 nicht konsultiert wird, k\u00f6nnen empfindliche Bu\u00dfgelder verh\u00e4ngt werden.
Was ist PIA in diesem Zusammenhang?<\/strong>
PIA (Privacy Impact Assessment)<\/a> ist eine Anwendung (\u201eopensource\u201c), die von der franz\u00f6sischen Aufsichtsbeh\u00f6rde CNIL entwickelt wurde, um den Datenverantwortlichen bei der Erstellung und dem Nachweis der Einhaltung der DSGVO zu helfen. Sie hilft bei der Durchf\u00fchrung einer Datenschutz-Folgenabsch\u00e4tzung, indem sie die Verwendung der von der CNIL entwickelten PIA-Methode vereinfacht. (Link zu weiteren Informationen<\/a>)
Aufgrund der Komplexit\u00e4t und Bedeutung einer DSFA empfehlen wir diese von rechtlichen Experten, die mit Datenschutzthemen vertraut sind, abschlie\u00dfend bewerten zu lassen. <\/p>\n\n\n\n