Die Datenschutz-Grundverordnung (DS-GVO) hat ein wichtiges Instrument zur Einschätzung von Datenschutzrisiken: Die Datenschutz-Folgenabschätzung (DSFA).
BayLDA stellt Informationen zur Durchführung einer Datenschutz-Folgenabschätzung bereit
Auf Basis der neuen Idee eines „risikoorientierten Ansatzes“ zieht sich dieses Konzept durch die gesamte DSGVO. Eine DSFA hilft vor allem bei der Verarbeitung von personenbezogenen Daten, bei denen ein hohes Risiko für die von der Verarbeitung betroffenen Personen besteht, um diese mit gezielten Maßnahmen zu schützen und Risiken einzudämmen.
Der Ansatz dient zur Auswahl der „richtigen“ (d. h. wirksamen und geeigneten) technischen und organisatorischen Maßnahmen (TOM) zum Schutz personenbezogener Daten. Dies bedeutet im Alltag für Verantwortliche, dass durch eine Auswahl passender Maßnahmen das Risiko der Rechte und Freiheiten für die einzelnen betroffenen Personen (z. B. Kunden oder Mitarbeiter) entscheidend reduziert bzw. eingedämmt werden kann. Die Notwendigkeit einer technischen oder organisatorischen Maßnahme hängt also somit vom „Risiko-Level“ ab, d. h. von der Höhe eines möglichen Schadens für die jeweilige Person, wenn es zu einem Eintritt des Risikos bei der Verarbeitung personenbezogener Daten kommt.
Die DSGVO beschreibt an verschiedenen Stellen drei Risiko-Level, die formal unterschieden werden müssen:
- Geringes Risiko
- (normales) Risiko
- Hohes Risiko
Eine Beschreibung der Risiko-Klassen finden Sie auf der Webseite des Bayerischen Landesamt für Datenschutz: https://www.lda.bayern.de/de/dsfa.html
Besonderheiten bei kleinen und mittleren Unternehmen
Die Datenschutzgrundverordnung berücksichtigt vor allem kleine und mittlere Unternehmen. Dies wird auch durch den risikoorientierten Ansatz deutlich. Damit wird zum Ausdruck gebracht, dass die technischen und organisatorischen Maßnahmen passend zum Verantwortlichen und dessen Verarbeitungen auszuwählen sind. Damit ist es möglich, dass jeder Verantwortlicher mit diesen (auch finanziell) verhältnismäßigen Aufwand ein akzeptables Datenschutzniveau erreichen kann.
Wann muss eine DSFA durchgeführt werden?
Hilfestellung zu einer Datenschutzfolgeabschätzungen gibt die Webseite des Bayerischen Landesamt für Datenschutz. Alternativ oder/und unterstützend dazu empfiehlt sich die Beauftragung eines Experten für Datenschutz. Dieser kann bereits im Hause als Datenschutzexperte tätig sein oder auf Stundenbasis als Datenschutz-Berater hinzugezogen werden.
