Eine Datenschutz-Folgenabschätzung ( DSFA ) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung ( DSGVO ) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschließlich Profiling; umfangreiche Verarbeitung sensibler Daten; systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.Mit einer Datenschutz-Folgenabschätzung sollen die Risiken für die Rechte und Freiheiten betroffener Personen ermittelt werden. Das Ziel ist dann, die Ergebnisse zu bewerten und die erkannten Risiken mit entsprechenden technischen und organisatorischen Maßnahmen (TOM) einzudämmen.
Was bedeutet Folgenabschätzung : Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess, um das Risiko zu erkennen, zu bewerten und zu bewältigen, das für das Individuum in dessen unterschiedlichen Rollen durch den Einsatz einer bestimmten Technologie oder eines Systems durch eine Organisation für dessen Grundrechte entsteht.
Wer muss eine Datenschutzfolgeabschätzung machen
Mit der EU-Datenschutz-Grundverordnung wird das Instrument der Datenschutz-Folgenabschätzung (DSFA) eingeführt (Art. 35 EU-DSGVO). Dabei handelt es sich um die Pflicht für den Verantwortlichen, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen vorzunehmen und zu dokumentieren.
Wer erstellt eine Datenschutzfolgeabschätzung : Neue Gesetzgebung erfordert häufiger Durchführung der DSFA
35 Abs. 4 legt fest, dass die Aufsichtsbehörden dafür zuständig sind, im Rahmen ihres Zuständigkeitsbereichs eine Liste derjenigen Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.
Neue Gesetzgebung erfordert häufiger Durchführung der DSFA
35 Abs. 4 legt fest, dass die Aufsichtsbehörden dafür zuständig sind, im Rahmen ihres Zuständigkeitsbereichs eine Liste derjenigen Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.
Vorgehensweise zur Durchführung einer DSFA
- Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke.
- Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung.
- Risikobewertung.
- Geplante Abhilfemaßnahmen zur Bewältigung der Risiken.
Wer ist für die Datenschutz-Folgenabschätzung verantwortlich
Bei der Durchführung einer Datenschutz-Folgenabschätzung ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).Nach Art. 51 DSGVO ist jeder Mitgliedsstaat verpflichtet, eine oder mehrere unabhängige Behörden für die Anwendung und Überwachung der DSGVO zu schaffen. In Deutschland sind dies die unabhängigen Datenschutzbeauftragten der Länder sowie die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).Die Aufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist.
Die Verantwortung für den Datenschutz im Unternehmen trägt daher der für das Unternehmen bzw. die juristische Person Vertretungsberechtigte, in der Regel also der Geschäftsführer, Vorstand oder allgemein Manager. In der Praxis wird oft versucht, das Thema Datenschutz abzugeben.
Wo ist die Datenschutz-Folgenabschätzung geregelt : Mit der Datenschutzreform 2018 wurde die Datenschutz-Folgenabschätzung (DSFA) als Instrument der datenschutzrechtlichen Risikobetrachtung und -bewertung neu eingeführt. Die DSFA ist in Art. 35 Datenschutz-Grundverordnung (DSGVO) geregelt.
Was passiert wenn Datenschutz nicht eingehalten wird : Datenschutzvorfall: Strafe in Millionenhöhe
Bei dem Unterlassen einer Meldung kann ein Bußgeld in Millionenhöhe drohen (bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes). Außerdem ist der Imageschaden, den ein Unternehmen durch eine vertuschte Datenschutzverletzung erleidet, nicht zu unterschätzen.
Was passiert wenn der Datenschutz nicht eingehalten wird
Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.
Verbleibt ein hohes oder sehr hohes Restrisiko, bedeutet dies Folgendes: Der Verantwortliche hat eine Datenschutz-Folgenabschätzung durchzuführen. Ferner hat er vor einem Einsatz einer derartigen Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren und. deren Entscheidung (z.Die Grundprinzipien wie Zweckbindung, Datenminimierung und Transparenzgebot bleiben erhalten.
Kann ein Mitarbeiter aufgrund eines Datenschutzverstoßes bestraft werden : Angestellte haften bei Datenschutzverstößen nach DSGVO nur, wenn sie vorsätzlich, also wissentlich und mit voller Absicht, gegen Datenschutz verstoßen haben. Zum Schutz haftet der Arbeitnehmer nach dem Arbeitsrecht dagegen für weitere Verstöße nur eingeschränkt.