Datenschutz-Folgenabschätzung

Damit bestimmte Fälle, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte von Personen mit sich bringen, besser eingehalten werden, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung verantwortlich sein, mit der insbesondere die Ursache, Art und Schwere des Risikos evaluiert werden. Die Ergebnisse der Datenschutz-Folgenabschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten technischen und organisatorischen Maßnahmen ergriffen werden müssen. Aus der Datenschutz-Folgenabschätzung geht hervor, dass Verarbeitungsvorgänge welche ein hohes Risiko bergen, durch geeignete Maßnahmen und mittels verfügbarer Technik, durch den Verantwortlichen, eingedämmt werden kann.

Diese Datenschutz-Folgenabschätzung, sollte sich mit den technischen und organisatorischen Maßnahmen und Privacy by Design befassen, da durch diese das Risiko eingedämmt und der Schutz der personenbezogenen Daten sichergestellt wird. Dies soll für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Menge an personenbezogener Daten zu verarbeiten, welche eine große Anzahl von Personen betreffen könnten und beispielsweise aufgrund ihrer Sensibilität und dem Einsatz neuer Technologie zur Datensicherung, ein hohes Risiko mit sich bringen könnte. 

WICHTIG:

Um eine eventuelle Datenschutz-Folgenabschätzung (DSFA) durchzuführen, müssen folgende Kriterien erfüllt sein:

1. Erstellung einer Verarbeitungstätigkeit
2. Erstellung eines Zwecks
3. Freigabe des Zwecks

Diese Schritte werden Ihnen beim Punkt Verzeichnis von Verarbeitungstätigkeiten erklärt. Ist ein Zweck von einem Manager genehmigt worden (es sind alle notwendigen Daten vorhanden), kann eine Risikoabschätzung durchgeführt werden.

Blacklist

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, die sogenannte Blacklist, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.

Die Blacklist beinhaltet mehrere Kriterien, die bei der Prüfung, ob eine Datenverarbeitung wahrscheinlich ein hohes Risiko mit sich bringt, berücksichtigt werden müssen. Werden zwei dieser Kriterien erfüllt, wird in den meisten Fällen ein hohes Risiko angenommen und eine Datenschutz-Folgenabschätzung muss durchgeführt werden.

Liegt ein Ansatzpunkt für die Durchführung einer Datenschutz-Folgenabschätzung vor, hat der Verantwortliche, die Datenschutz-Folgenabschätzung, vor der Aufnahme der Datenverarbeitung durchzuführen.

1. Um den aktuellen Zweck als kritisch festzustellen, prüfen Sie diesen Zweck gegen die Blacklist. Dies erreichen sie, indem sie auf die Schaltfläche „Prüfe gegen Blacklist“ klicken, welche über zwei Zugänge erreichbar ist.
2. Die Blacklist-Prüfung hat auf der linken Hälfte bestimmte Kriterien gelistet, nach denen die Verarbeitungstätigkeit zum festgelegten Zweck als kritisch zu betrachten, dafür reicht es aus, dass nur eine dieser Kriterien zutrifft. Auf der anderen Hälfte sind weitere Kriterien gelistet, die wenn zwei davon zutreffen sollten, auch dann die Verarbeitungstätigkeit als kritisch anzusehen ist. Nach der Auswahl der Kriterien, sollten einige oder keine von Ihnen zutreffen, prüfen Sie die Eingabe mit einem Klick auf die Schaltfläche „Prüfe gegen Blacklist“ .
3. In der Formularansicht sind Informationen abrufbar, welche zu erkennen geben, ob der aktuelle Zweck laut Blacklist kritisch ist oder nicht. Unter Info sehen Sie den aktuellen Status der Folgenabschätzung, in diesem Fall wurde auf Kriterien in der Blacklist geprüft und festgestellt, dass eine Folgenabschätzung notwendig ist. Zu diesem Zeitpunkt ist die Folgenabschätzung noch nicht durchzuführen, da zuerst auf die Kriterien der Whitelist hin geprüft werden muss, welche die Blacklist zu entkräftigen vermag. Wenn der Zweck laut Blacklist jedoch nicht kritisch sein sollte, ist die Überprüfung der Whitelist auf nicht risikobehaftete Kriterien auch nicht notwendig.
4. Nachdem die Blacklist-Prüfung fertiggestellt wurde, kann die von Ihnen durchgeführte Bewertung jeder Zeit eingesehen werden. Die vollständige ausgefüllte Blacklist ist unter der Notebook-Page DSFA Blacklist zu finden.

Whitelist

Die Aufsichtsbehörde, kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.

Die Whitelist-Verordnung gibt Datenverarbeitungsvorgänge an, welche von der Datenschutzbehörde vorgegeben sind und von einer verpflichtenden Durchführung einer Datenschutz-Folgenabschätzung, zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, nach DSGVO ausgenommen sind. Die Whitelist enthält eine genaue Beschreibung des jeweiligen Zwecks der Datenverarbeitung. Nur innerhalb dieses Zwecks entfällt bei der jeweiligen Verarbeitungstätigkeit die Datenschutz-Folgenabschätzung.

1. Die Prüfung gegen Whitelist Kriterien können ebenfalls über zwei Zugänge erreicht werden. Durch Auswahl einer der beiden Schaltflächen, gelangen sie zu dieser Auswahl.
2. Sobald ein einziges Kriterium als unkritische Verarbeitungstätigkeit in Frage kommt, kann auf die Folgenabschätzung verzichtet werden, muss aber nicht. Wählen Sie hier die zutreffenden Kriterien aus und klicken Sie auf die Schaltfläche „Prüfe gegen Whitelist“ .
3. Auch für die durchgeführte Whitelist-Prüfung wird eine eigene Notebook-Page generiert, in der sämtliche Informationen über die bereits vorgemerkten und nicht zutreffenden Kriterien dargestellt werden.

Folgenabschätzung durchführen

1. Um die Datenschutz-Folgenabschätzung nun auch durchzuführen, klicken Sie auf die Schaltfläche „DSFA durchführen„. Diese Schaltfläche erscheint erst, nachdem der Zweck gegen die Blacklist und die Whitelist geprüft wurde.
2. Beurteilen Sie die möglichen physischen, materiellen und immateriellen Auswirkungen für Betroffene und ordnen Sie diese einer Kategorie zu. Geben Sie außerdem eine Begründung dafür ein und wählen Sie die unten dargestellte Schaltfläche aus, um zum nächsten Risiko zu gelangen.
3. Klicken Sie auf die Schaltfläche „neue Bewertung durchführen“ , wenn Sie der Meinung sind, dass das Ergebnis unmöglich richtig sein kann. Unmittelbar rechts daneben befindet sich die Schaltfläche zur nochmaligen Berechnung des Restrisikos.

Ergebnis der Bewertung

Das Ergebnis der Datenschutz – Folgenabschätzung enthält folgendes:

1. Hinterlegte Informationen zu dem Zweck, in diesem Fall Personalverrechnung.
2. ein Potenzielles Risiko, welches sich aus den getroffenen Entscheidungen zu den Risiken zusammensetzt.
3. ein derzeitiges Restrisiko, welches durch die geplanten TOMs und Privacy by Designs reduziert wird.
4. ein geplantes Restrisiko, welches zum Erreichen wäre, wenn noch zusätzliche Maßnahmen getroffen würden.
5. eine Option zur Erstellung eines DSFA Berichts, der anschließend heruntergeladen und ausgedruckt werden kann.
6. Notebook-Pages, in der sämtliche Informationen über die bereits vorgemerkten und nicht zutreffenden Kriterien dargestellt sind.