Was ist eine Datenschutz-Folgenabschätzung (DPiA)?

Service

Die DSGVO-Verordnung hat die Verpflichtung für die Datenverantwortlichen zur Registrierung personenbezogener Daten bei GIODO abgeschafft und durch die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung ersetzt. Muss von jedem Unternehmer eine Folgenabschätzung zum Schutz personenbezogener Daten erstellt werden?

Was ist eine Folgenabschätzung zum Schutz personenbezogener Daten?

Die Folgenabschätzung zum Schutz personenbezogener Daten (auch bekannt als DPiA oder Regulierungsfolgenabschätzung) ist eine Prüfung des Verantwortlichen, ob die Verarbeitung personenbezogener Daten im Unternehmen ein Risiko oder ein hohes Risiko einer Verletzung der Rechte der betroffenen Personen (z Recht auf Privatsphäre) ).

Wenn ein hohes Risiko von Informationssicherheitsverletzungen für die im Unternehmen verarbeiteten personenbezogenen Daten besteht, sollte eine DPiA durchgeführt werden, d .

Eine Verletzung des Schutzes personenbezogener Daten bedeutet eine Sicherheitsverletzung, die zu versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder unbefugtem Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

Die Nichteinhaltung der Anforderungen der Datenschutz-Folgenabschätzung kann mit einer Geldbuße geahndet werden. Andererseits kann die Nichtdurchführung einer DPiA, wenn dies erforderlich ist (aufgrund des hohen Risikos einer Verletzung der Sicherheit der Verarbeitung personenbezogener Daten), zu einer Geldstrafe von bis zu 10 Mio. bis zu 2% des gesamten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Wer muss eine Datenschutz-Folgenabschätzung durchführen?

Eine Folgenabschätzung ist insbesondere erforderlich für:

  • systematische, umfassende, automatisierte Bewertung personenbezogener Faktoren, auf deren Grundlage Entscheidungen getroffen werden, die rechtliche Auswirkungen auf eine natürliche Person haben,

  • umfangreiche Verarbeitung sensibler personenbezogener Daten,

  • systematische großflächige Überwachung von öffentlich zugänglichen Orten.

Um zu prüfen, ob eine DSFA erforderlich ist, wird empfohlen zu überprüfen, ob die Verarbeitung die folgenden Kriterien erfüllt:

  • Beurteilung und Bewertung - Profilerstellung und Prognose, insbesondere in Bezug auf Daten wie: Gesundheit, Interessen, Standort,

  • automatisierte Entscheidungsfindung mit Rechtswirkung, z.B. Profilierung von Kunden hinsichtlich ihrer Kaufpräferenzen,

  • systematische Überwachung zur Beobachtung des Themas personenbezogener Daten (z. B. in einem Hotel, einer Tankstelle, einem Restaurant usw.),

  • Verarbeitung sensibler personenbezogener Daten, z.B. Erhebung von Krankenakten,

  • umfangreiche Datenverarbeitung,

  • Nutzung technologischer Innovationen zur Datenverarbeitung, z.B. Biometrie,

  • Datenübertragung außerhalb der Europäischen Union.

Wenn der Verantwortliche oder das Unternehmen mit einer oder mehreren der oben genannten Situationen konfrontiert ist, ist die DPiA erforderlich.

Beachtung!

Es ist der Verantwortliche (z.B. ein Unternehmer), der selbstständig entscheidet, ob eine Datenschutz-Folgenabschätzung erforderlich ist.

Was sollte eine Datenschutz-Folgenabschätzung enthalten?

Die Datenschutz-Folgenabschätzung ähnelt inhaltlich der grundlegenden Risikoabschätzung, die wir im Artikel lesen werden: Risikoabschätzung in der DSGVO – ist das wirklich so schrecklich? Eine Datenschutz-Folgenabschätzung sollte insbesondere umfassen:

  • Beschreibung der Verarbeitung personenbezogener Daten (z.B. Vernichtung, Erhebung etc.) und des Zwecks ihrer Verarbeitung,

  • eine Einschätzung der Notwendigkeit der Verarbeitung einer bestimmten Art von Daten und eine Angabe, ob eine bestimmte riskante Aktivität vermieden werden kann, und falls nicht, eine Angabe, welche vorbeugenden Maßnahmen getroffen wurden,

  • Einschätzung des Risikos der Verletzung der Rechte und Freiheiten der betroffenen Personen,

  • geplante Maßnahmen zur Risikoabwehr und zum Nachweis der Einhaltung der Verarbeitung personenbezogener Daten.

Eine DSFA kann mehr Elemente als die oben genannten Daten enthalten, sie sind jedoch für DPiA obligatorisch.

Wann und wie führt man eine DPiA Datenschutz-Folgenabschätzung durch?

DPiA sollte vor Aufnahme von Verarbeitungsvorgängen (d.h. bereits im Prozess der Datenverarbeitungsplanung) durchgeführt werden. Eine Datenschutz-Folgenabschätzung (DPiA) kann mit jeder Methode durchgeführt werden. Die DSGVO gibt nur die wesentlichen Elemente an, die sie enthalten sollte (die in der vorherigen Überschrift aufgeführt wurden).

Die Beurteilung sollte so gestaltet sein, dass sie im Falle einer Prüfung der Aufsichtsbehörde nach dem Grundsatz der Rechenschaftspflicht vorgelegt werden kann.

Beachtung!

Der Administrator ist verpflichtet, zusammen mit dem Datenschutzbeauftragten - sofern bestellt - eine Datenschutz-Folgenabschätzung durchzuführen.

Die Datenschutz-Folgenabschätzung kann einem externen Unternehmen anvertraut werden, jedoch ist der Verantwortliche dafür verantwortlich.

Was die Verarbeitungsvorgänge betrifft, die bereits vor Inkrafttreten der DSGVO bestanden, dann

die Erstellung einer DPiA ist erforderlich, wenn

  • Verarbeitungsvorgänge können zu einem hohen Risiko von Sicherheitsverletzungen führen,

  • es gibt eine Änderung der Art des Risikos.

Es sollte jedoch eine gute Praxis sein, die DSFA ständig zu überprüfen und zu aktualisieren. Auch wenn am 25. Mai 2018 keine DSB erforderlich ist, muss der Verantwortliche daher zu gegebener Zeit eine solche Beurteilung der Rechenschaftspflicht durchführen.

Musterblatt für DPiA - Risiko


Die Risikobewertung erfolgt meistens nach vom Unternehmen festgelegten Kriterien, beispielsweise nach Häufigkeit oder Eintrittswahrscheinlichkeit eines bestimmten Risikos sowie dessen Wesen und Schwere.

Wann ist die Durchführung einer DSFA nicht erforderlich?

Eine DSFA ist nicht obligatorisch, wenn:

  • es unwahrscheinlich ist, dass durch den Verarbeitungsvorgang ein hohes Risiko der Verletzung der Rechte und Freiheiten natürlicher Personen entstehen könnte,

  • Art, Umfang und Zweck der Verarbeitung entsprechen einer Verarbeitung, für die bereits eine Folgenabschätzung durchgeführt wurde,

  • der Verarbeitungsvorgang eine Rechtsgrundlage hat – d. h. wenn eine bestimmte Art der Verarbeitung durch Rechtsakte (Gesetz, Verordnung) geregelt ist,

  • der Verarbeitungsvorgang ist in der vom Präsidenten des Amtes für den Schutz personenbezogener Daten erstellten optionalen Liste der "Verarbeitungsvorgänge, die keiner Folgenabschätzung unterliegen" aufgeführt,

  • wenn die Verarbeitungsvorgänge vor Mai 2018 unter bestimmten Voraussetzungen von der Aufsichtsbehörde geprüft wurden und sich nicht geändert haben.

Starten Sie eine kostenlose 30-tägige Testphase ohne Bedingungen!

Die Rolle des Datenschutzbeauftragten (DSB) bei DPiA

Hat das Unternehmen einen DSB benannt, sollte die Pflicht zur Durchführung von DSB mit ihm abgesprochen und die Folgenabschätzung gemeinsam mit ihm durchgeführt werden.

Die Richtlinien der Arbeitsgruppe Art. 29 des Datenschutzbeauftragten empfiehlt dem Verantwortlichen und dem Auftragsverarbeiter, den Inspektor u. a. zu folgenden Fragen um Rat zu bitten:

  • ob eine Datenschutz-Folgenabschätzung durchgeführt werden soll,

  • welche Methodik bei der Durchführung einer Datenschutz-Folgenabschätzung verwendet werden sollte,

  • ob eine interne DSFA durchgeführt oder ausgelagert werden soll,

  • welche Garantien (einschließlich technischer und organisatorischer Maßnahmen) angewendet werden, um etwaige Bedrohungen der Rechte und Interessen der betroffenen Personen zu mindern,

  • ob die DSFA ordnungsgemäß durchgeführt wurde und ob ihre Ergebnisse den Datenschutzanforderungen entsprechen (ob die Verarbeitung fortgeführt wird oder nicht und welche Garantien anzuwenden sind).

Vorherige Konsultationen mit dem Präsidenten des Amtes für den Schutz personenbezogener Daten

Wenn DPiA zeigt, dass ein hohes Risiko (z. B. unrechtmäßiger Zugriff auf lebensbedrohliche Daten) einer Verletzung des Schutzes personenbezogener Daten besteht, wenn der Verantwortliche:

  • keine Maßnahmen zur Risikominimierung anwenden würden oder

  • das fragliche Risiko nicht ausreichend mindern kann oder

  • Trotz Maßnahmen bleiben die Risiken hoch

- Vor Beginn der Verarbeitung sollte der Verantwortliche dem Präsidenten des Amtes für den Schutz personenbezogener Daten (PUODO) Bericht erstatten. Als Ergebnis von Konsultationen kann PUODO Empfehlungen und Richtlinien zu den Maßnahmen herausgeben, die der Administrator zum Schutz personenbezogener Daten ergreifen sollte.

Leitlinien der Arbeitsgruppe 29 zu DPiA

Die Arbeitsgruppe 29 ist ein Team unabhängiger Experten, die nach EU-Recht ernannt wurden, um Empfehlungen zur Umsetzung der DSGVO abzugeben. Polen wird in der Arbeitsgruppe durch den Generalinspekteur für den Schutz personenbezogener Daten vertreten.

Die Hauptaufgabe der Arbeitsgruppe 29 besteht darin, zur einheitlichen Anwendung der DSGVO durch alle EU-Staaten beizutragen und Leitlinien zur Anwendung der Bestimmungen zum Schutz personenbezogener Daten zu erlassen.

Eines der WP29-Dokumente betrifft die Regulierungsfolgenabschätzung „Leitlinien für eine Datenschutzfolgenabschätzung und Hilfe bei der Feststellung, ob die Verarbeitung“ möglicherweise ein hohes Risiko hat „für die Zwecke der Verordnung 2016/679“.

In den „Leitlinien“ schlägt die Gruppe vor, welche Kriterien bei der Erstellung einer Folgenabschätzung zum Schutz personenbezogener Daten zu berücksichtigen sind. Darüber hinaus enthält dieses Dokument beispielsweise Informationen zu:

  • was betrifft DPiA,

  • welche Datenverarbeitungsvorgänge dem Datenschutzgesetz unterliegen,

  • wie man eine Folgenabschätzung zum Schutz personenbezogener Daten durchführt,

  • wann ist die Aufsichtsbehörde zu konsultieren

  • Richtlinien zum Datenschutzbeauftragten.

Kriterien für eine DSGVO-konforme Datenschutz-Folgenabschätzung

Die Arbeitsgruppe 29 schlug die folgenden Kriterien vor, um überprüfen zu können, ob eine DSFA in Übereinstimmung mit den DSGVO-Anforderungen durchgeführt wird. Gemäß den Richtlinien hält DPiA die DSGVO ein, wenn:

  • eine systematische Beschreibung des Verarbeitungsvorgangs erfolgt:

    • Art, Umfang, Kontext und Zwecke der Verarbeitung berücksichtigt wurden,

    • das Register personenbezogene Daten, Angaben zu Empfängern und Speicherdauer der personenbezogenen Daten enthält,

    • Ressourcen, mit denen personenbezogene Daten in Kontakt kommen, identifiziert wurden (Hardware, Software, Netzwerke, Personen, Studien oder Übertragungswege von Studien);

  • die Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung wurden bewertet:

    • die geplanten Maßnahmen zur Einhaltung der Verordnung angegeben sind,

    • Maßnahmen angegeben, die zur Wahrung der Rechte der betroffenen Personen beitragen:

      • Information der betroffenen Person,

      • das Recht auf Auskunft und das Recht auf Datenübertragbarkeit,

      • das Recht auf Berichtigung und Löschung von Daten,

      • das Recht auf Widerspruch und das Recht auf Einschränkung der Verarbeitung,

      • Beziehung zum Auftragsverarbeiter,

      • Garantien für internationale Datenübertragungen;

  • Aktivitäten zur Verwaltung des Risikos der Verletzung der Rechte und Freiheiten der betroffenen Personen durchgeführt wurden:

    • Quelle, Art, Spezifität und Schwere des Risikos wurden berücksichtigt,

    • Risikoquellen berücksichtigt wurden,

    • die möglichen Folgen des Risikos identifiziert wurden,

    • Bedrohungen für die Sicherheit personenbezogener Daten wurden identifiziert

    • die Wahrscheinlichkeit und Schwere des Risikos wurden geschätzt,

    • geplante Maßnahmen zur Risikobewältigung werden identifiziert.