Buchen Sie unsere Beratungsleistungen, um die Datenschutz-Folgenabschätzung von unseren Experten durchführen zu lassen.

In dieser Übersicht finden Sie zehn Fragen und Antworten, mit denen Sie sich ein Bild davon machen können, ob und wie Sie Unterstützung bei einer Datenschutz-Folgenabschätzung brauchen.

Eine Datenschutz-Folgenabschätzung ist dafür da, das Risiko einer Verarbeitung zu bestimmen. Sie muss immer dann durchgeführt werden, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.

Mit einer Datenschutz-Folgenabschätzung:

  1. beschreiben Sie die Verarbeitung Ihrer personenbezogenen Daten
  2. beurteilen Sie die Notwendigkeit der Verarbeitungstätigkeit
  3. identifizieren Sie die möglichen Risiken für die (Rechte und Freiheiten der) betroffenen Person
  4. managen Sie die damit verbundenen Risiken
So identifizieren Sie mögliche Risiken und ergreifen Maßnahmen, um sie so weit wie möglich zu beseitigen.

Auf der Grundlage des Prozesses können Sie Maßnahmen zur Bewältigung der Risiken festlegen. Eine Datenschutz-Folgenabschätzung hilft nicht nur, die Anforderungen der DSGVO zu erfüllen, sondern kann auch nachweisen, dass Sie entsprechende Maßnahmen ergriffen haben (Artikel 24).
Eine Datenschutz-Folgenabschätzung kann sich sowohl auf eine einzelne Verarbeitung als auch auf eine Mehrfachverarbeitung von personenbezogenen Daten beziehen. Eine Datenschutz-Folgenabschätzung, die zur Beurteilung von Mehrfachverarbeitungstätigkeiten verwendet wird, muss Verarbeitungstätigkeiten enthalten, die in Bezug auf Art, Größe, Kontext, Zweck und Risiken vergleichbar sind.

Da eine Datenschutz-Folgenabschätzung zur Untersuchung neuer Situationen herangezogen wird, die zu hohen Risiken für die Rechte und Freiheiten natürlicher Personen führen können, ist es nicht erforderlich, in bereits untersuchten Fällen eine Bewertung durchzuführen. Eine Wiederholung einer Datenschutz-Folgenabschätzung zur Kontrolle, z.B. einmal alle 3 Jahre, wird empfohlen, um nachweislich "in der Kontrolle" zu bleiben. Eine Datenschutz-Folgenabschätzung kann auch nützlich sein, um die Auswirkungen eines technologischen Produkts auf den Datenschutz zu bewerten.
Eine Datenschutz-Folgenabschätzung ist nur dann obligatorisch, wenn die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen kann (Artikel 35, Absatz 1 DSGVO).

Es besteht wahrscheinlich ein großes Risiko, wenn einer der folgenden Fälle vorliegt (Artikel 35, Absatz 3):

  1. Jemand bewertet systematisch nach persönlichen Aspekten, verarbeitet diese automatisch und trifft Entscheidungen auf dieser Basis
  2. Es werden umfangreich spezielle Kategorien von personenbezogenen Daten verarbeitet
  3. Es werden systematisch und großflächig öffentliche Räume überwacht
Dabei können die folgenden Kriterien miteinbezogen werden:

  1. Bewertung oder Zuordnung von Punkten
  2. automatisierte Entscheidungsfindung
  3. systematische Überwachung
  4. sensible Daten
  5. umfangreich verarbeitete Daten
  6. Matching oder Zusammenführung von Datensätzen
  7. Daten über gefährdete Personen
  8. neue technologische oder organisatorische Lösungen
  9. Verarbeitung, bei der die betroffenen Personen ihre Rechte nicht ausüben können
Eine Datenschutz-Folgenabschätzung in folgenden Fällen nicht erforderlich:

  1. Es ist unwahrscheinlich, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt (Artikel 35, Absatz 1)
  2. Eine vergleichbare Datenschutz-Folgenabschätzung existiert bereits
  3. Die Verarbeitung wurde vor Mai 2018 durch die Datenschutzbehörde autorisiert
  4. Die Verarbeitung hat eine Rechtsgrundlage (Artikel 6, Absatz 1, Buchstabe c) oder e)
  5. Die Verarbeitung ist in der Liste der Verarbeitungstätigkeiten aufgeführt, die keine Datenschutz-Folgenabschätzung erfordern (Artikel 35(5))
Eine Datenschutz-Folgenabschätzung ist erforderlich für:

  1. neue Verarbeitungstätigkeiten, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellen können.
  2. bestehende Verarbeitungstätigkeiten, bei denen sich die Risiken geändert haben, unter Berücksichtigung von Art, Umfang, Kontext und Zweck der Verarbeitung.
Da ständig neue Technologien eingeführt werden oder personenbezogene Daten für einen anderen Zweck verwendet werden, können sich die Risiken ändern. Dadurch kann sich die Verarbeitung schnell weiterentwickeln, was zu neuen Schwachstellen führen kann. Eine Datenschutz-Folgenabschätzung ist daher nicht nur für die kontinuierliche Verbesserung nützlich, sondern auch für den langfristigen Schutz personenbezogener Daten in einem sich ständig verändernden Umfeld unerlässlich.

Eine Datenschutz-Folgenabschätzung kann auch erforderlich werden, wenn sich der organisatorische oder soziale Kontext für die Verarbeitungstätigkeit geändert hat. Zum Beispiel, weil die automatisierte Entscheidungsfindung immer wichtiger wird oder weil eine neue Kategorie von Betroffenen anfälliger für Diskriminierung wird.
Die Datenschutz-Folgenabschätzung wird vor Aufnahme der Verarbeitungstätigkeit durchgeführt. Sie können die Datenschutz-Folgenabschätzung als Werkzeug betrachten, um eine Entscheidung über die Verarbeitung von personenbezogenen Daten zu treffen. Eine Datenschutz-Folgenabschätzung sollte so früh wie möglich gestartet werden, vorzugsweise bevor mit dem Design der Verarbeitung begonnen wird, auch wenn eine Verarbeitung selbst noch nicht bekannt ist. Die Durchführung einer Datenschutz-Folgenabschätzung kann als kontinuierlicher Prozess und nicht als einmalige Aufgabe angesehen werden.
Der für die Verarbeitung Verantwortliche stellt sicher, dass die Datenschutz-Folgenabschätzung durchgeführt wird (Artikel 35, Absatz 2). Sie können es von jemand anderem durchführen lassen, aber der Verantwortliche für die Verarbeitung bleibt letztendlich verantwortlich.

Wenn Sie einen DSB (Datenschutzbeauftragten) bestellt haben, muss der für die Verarbeitung Verantwortliche auch dessen Rat einholen (Artikel 35, Absatz 2). Diese Hinweise sind zu dokumentieren. Der DSB überwacht auch die Umsetzung einer Datenschutz-Folgenabschätzung (Artikel 39, Absatz 1, Buchstabe c.

Wenn Sie als Auftragsverarbeiter die Verarbeitung ganz oder teilweise durchführen, müssen Sie dem für die Verarbeitung Verantwortlichen helfen, eine Datenschutz-Folgenabschätzung durchzuführen und die notwendigen Informationen zur Verfügung zu stellen (Artikel 28, Absatz 3, Buchstabe f).

Soweit möglich, bittet der für die Verarbeitung Verantwortliche die betroffenen Personen (oder ihre Vertreter) um ihre Stellungnahme zur beabsichtigten Verarbeitung.
Es gibt eine Vielzahl von Methoden, um eine Datenschutz-Folgenabschätzung durchzuführen. Natürlich möchten wir Ihnen das Datenschutz-Folgenabschätzungs-Modul von Privacy Nexus empfehlen. Es gibt jedoch keine einheitliche Methode, aber eine Liste von grundlegenden Kriterien (Artikel 35, Absatz 7 und Erwägungsgründe 84 und 90). Eine Datenschutz-Folgenabschätzung muss daher zumindest die Anforderungen erfüllen:

  1. eine Beschreibung der vorgesehenen Verarbeitungen und der Verarbeitungszwecke
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  4. die vorgesehenen Maßnahmen zur Bewältigung der Risiken und zum Nachweis der Einhaltung der DSGVO
Sie müssen auch die Einhaltung eines Verhaltenskodexes berücksichtigen (Artikel 40 und Artikel 35, Absatz 8). Auf diese Weise können Sie nachweisen, dass Sie geeignete Maßnahmen gewählt oder ergriffen haben. Dies ist nur möglich, wenn der Verhaltenskodex auch zur Verarbeitung passt.

Außerdem müssen Sie Zertifizierungen, Stempel und Kennzeichen berücksichtigen, mit denen nachgewiesen werden kann, dass Sie konform handeln (Artikel 42). Gleiches gilt für verbindliche Unternehmensregeln.

Bei Bedarf können Sie - basierend auf einer Datenschutz-Folgenabschätzung - einen Test durchführen, um die Auswirkungen einer Verarbeitungstätigkeit zu beurteilen. Dies muss in jedem Fall erfolgen, wenn sich die Risiken einer Verarbeitungstätigkeit geändert haben (Artikel 35, Absatz 11).
Sie müssen die Datenschutz-Folgenabschätzungen nicht veröffentlichen, aber die Veröffentlichung kann das Vertrauen in Ihr Unternehmen erhöhen. Sie können daher erwägen, eine Zusammenfassung oder das Fazit einer Datenschutz-Folgenabschätzung zu veröffentlichen. Zum Beispiel, wenn die Verarbeitung Konsequenzen für die Öffentlichkeit hat. Denken Sie an eine Regierungsbehörde, die eine Datenschutz-Folgenabschätzung durchführt.

Wenn Sie aufgrund einer Datenschutz-Folgenabschätzung ein hohes Restrisiko eingehen, sind Sie als für die Verarbeitung Verantwortlicher verpflichtet, vor der Verarbeitung die Datenschutzbehörde zu kontaktieren (Artikel 36 Absatz 1). Sie müssen die vollständige Datenschutz-Folgenabschätzung vorlegen (Artikel 36, Absatz 3 Buchstabe e). Die Datenschutzbehörde kann Ratschläge erteilen, darf aber keine Geschäftsgeheimnisse preisgeben oder Sicherheitsprotokolle offenlegen.
Wenn Sie die Anforderungen einer Datenschutz-Folgenabschätzung nicht erfüllen, kann die Behörde für personenbezogene Daten eine Geldstrafe verhängen. So riskieren Sie eine Geldstrafe, wenn Sie:

  1. die Datenschutz-Folgenabschätzung nicht ausführen, obwohl es für die Verarbeitung erforderlich ist (Artikel 35, Absätze 1, 3 und 4)
  2. eine Datenschutz-Folgenabschätzung nicht korrekt ausführen (Artikel 35, Absätze 2, 7, 8 und 9)
  3. die personenbezogenen Daten der Behörde trotz Bedarf nicht konsultiert haben (Artikel 36, Absatz 3 Buchstabe e)
Dies kann zu einer Geldbuße von bis zu 10 Mio. EUR oder, im Falle eines Unternehmens, bis zu 2 % des gesamten weltweiten Jahresumsatzes im vorangegangenen Geschäftsjahr führen, je nachdem, welcher Betrag höher ist.



Sie brauchen Hilfe bei einer Datenschutz-Folgenabschätzung?

Nehmen Sie Kontakt mit uns auf! Wir beraten Sie gerne.


Gehe zur vorherigen Seite Gehe zur Beratungs-Übersicht Gehe zur nächsten Seite