+49 228 2861 140 60 info@sicoda.de

Datenschutz-Folgenabschätzung

Die Datenschutzfolgenabschätzung ist vergleichbar mit der bekannten Vorabkontrolle nach § 4d Abs. 5 BDSG.

Wo bisher allerdings eine Vorabkontrolle auf Grund der Ausnahmeregelungen selten zum Zuge kam, ist heute die Datenschutz-Folgenabschätzung der Regelfall.

Die Artikel 29 Gruppe hat zur Datenschutzfolgenabschätzung bereits ein Working-Paper veröffentlicht.

1.                 Systematische Beschreibung der Datenverarbeitung (Art.35(7)(a)):

  • Umfang, Inhalt und Zweck der Datenverarbeitung (EG 90);
  • Personenbezogene Daten, Empfänger, Speicherfristen
  • Funktionale Beschreibung der Datenverarbeitung
  • die Systeme auf denen die Daten verarbeitet werden (hardware, software, networks, people, paper or paper transmission channels) werden identifiziert;
  • Compliance mit anerkannten Verhaltensregeln (code of conduct) (Art.35(8));

2.                 Maßnahmen zur Datensicherheit (Art.35(7)(d) und EG 90):

  • Verfügbarkeit
  • Vertraulichkeit
  • Integrität
  • Belastbarkeit der System

3.                Bewertung der Notwendigkeit und Verhältnismäßigkeit (Art.35(7)(b))
3.1.            Verhältnismäßigkeit der Datenverarbeitung

  • Definierte, bestimmte erlaubte Zwecke (Art.5(1)(b));
  • Erlaubnis der Datenverarbeitung (Art.6)
  • Angemessen, relevant und begrenzt auf die notwendigen Daten (Art.5(1)(c));
  • Begrenzte Speicherdauer (Art.5(1)(e));

3.2.           Maßnahmen zur Umsetzung der Betroffenenrechte

  • Informationen, die dem Betroffenen mitgeteilt werden (Art. 12, 13 und 14) 
  • Recht auf Auskunft und Datenübertragung (Art. 15 und 20)
  • Recht auf Berichtigung, Vergessen werden und Sperrung (Art. 16, 17 und 19)
  • Recht auf Widerspruch und Einschränkung der Verarbeitung (Art.18, 19 und 21)
  • Verhältnis mit Auftragsverarbeiter (Art.28)
  • Sicherheiten im internationalen Datentransfer (Chapter V)
  • Vorherige Konsultation der Aufsichtsbehörde (Art.36).

4.                Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen (Art.35(7)(c)):

  • Ursache, Art, Besonderheiten und Schwer des Risikos (cf. EG 84) oder besonders für die einzelnen Risiken (illegitimste access, undesired modification, und disappearance of data) aus Sicht des Betroffenen: 
  • Ursachen der Risiken werden bewertet (EG 90);
  • Mögliche Folgen für die Rechte und Freiheiten der Betroffenen werden bei Vorfällen insbesondere unberechtigtem Zugriff unbeabsichtigten Modifikationen oder Löschung von Daten identifiziert.
  • Bewertung der Schwere und der Eintrittswahrscheinlichkeiten (EG 90);
  • Abhilfemaßnahmen für diese Risiken werden bestimmt (Art.35(7)(d) und EG 90);

5.                Bei der Folgenabschätzung beteiligte Parteien:

  • Ratschlag des Datenschutzbeauftragten DSB (Art.35(2));
  • Standpunkt der Betroffenen oder Ihrer Vertreter werden eingeholt, soweit angemessen (Art.35(9))