Eine sorgsam vorbereitete Datenschutzfolgeabschätzung (DSFA) gilt als Herzstück bei der Umsetzung der DSGVO in Unternehmen, wobei diese viel Arbeit und guter Vorbereitung bedarf. Doch was sollte man zur DSFA wissen?
Seit dem Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 gilt gemäß Artikel 35 auch die angesprochene DSFA. Dabei gleicht die Methodik der DSFA einer klassischen Risikobewertung in Bezug auf die Verarbeitung personenbezogener Daten im jeweiligen Betrieb. Im Vordergrund steht hierbei die Frage, Welches Risiko entsteht? oder Wie hoch das Risiko für die Rechte der Betroffenen ist, wenn gewisse Prozesse und Technologien eingesetzt werden (sollen)?
Um der Thematik rund um die DSFA einen Rahmen zu geben, werden zunächst zwei Fragen beantwortet:
Wann muss man eine DSFA machen?
Eine DSFA ist laut DSGVO immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte.
Welchen Mindestinhalt sollte eine DSFA vorweisen?
- Systematische Beschreibung der Verarbeitungsvorgänge und -zwecke
- Notwendigkeit sowie Verhältnismäßigkeit der Verarbeitung im Verhältnis gesetzt zum Zweck der entsprechenden Verarbeitung
- Risikobewertung, aufbauend auf der jeweiligen Verwendung
- Geplante (oder schon umgesetzte) Abhilfemaßnahmen zur Bewältigung der potenziellen Risiken
Wie könnte mit dieser Basis eine DSFA konkret aussehen?
Der Prozess der DSFA umfasst mehrere Schritte: Zunächst wird der geplante Datenverarbeitungsprozess detailliert beschrieben, einschließlich der Art der Daten, des Zwecks der Verarbeitung und der beteiligten Akteure. Anschließend werden die möglichen Risiken für die Rechte und Freiheiten der betroffenen Personen analysiert. Hierbei wird bewertet, wie wahrscheinlich und schwerwiegend mögliche Datenschutzverletzungen sein könnten.
Nach der Risikoanalyse folgt die Erarbeitung von Maßnahmen zur Minderung der identifizierten Risiken. Dies kann technische Maßnahmen, wie Verschlüsselung und Anonymisierung, umfassen sowie organisatorische Maßnahmen, wie Schulungen und Richtlinien, zur Datensicherheit. Abschließend wird die Wirksamkeit dieser Maßnahmen bewertet, um sicherzustellen, dass die Risiken auf ein akzeptables Niveau reduziert wurden.
Darüber hinaus ist es wichtig, den Arbeitsaufwand für die Erstellung der DSFA in den jeweiligen Fachbereichen möglichst gering zu halten. Dies ist nicht nur im Sinne der eigentlichen Arbeit, sondern erhöht auch das Bewusstsein für das Thema Datenschutz im Allgemeinen.
Abschließend lässt sich festhalten, dass die DSFA nicht nur eine regulatorische Anforderung ist, sondern auch ein wichtiges Instrument, um Vertrauen bei Kunden und Partnern zu schaffen, indem gezeigt wird, dass der Datenschutz ernst genommen wird. Unternehmen, die eine DSFA durchführen, können so ihre Compliance sicherstellen und gleichzeitig das Risiko von Datenschutzverletzungen und den damit verbundenen Strafen minimieren.
DSFA Dokumentlösung durch Anonymisierung von Glanos
Wir von Glanos liefern dafür mit der Anonymisierungslösung, anonymization.ai, einen wichtigen Baustein, mit dem sensible Daten Privatsphäre-wahrend verarbeitet und weitergegeben werden können:
Glanos‘ KI, anonymization.ai, pseudonymisiert oder anonymisiert automatisch alle personenbezogenen Daten (PII) und kann damit eine datenschutzkonforme Trennung von wiederverwertbaren, unproblematischen Inhalten und sensiblen Angaben leisten. Das ermöglicht den Austausch von Daten, deren Monetarisierung oder auch das schnelle Bearbeiten von Auskunftsersuchen.
Klingt dies auch nach einer noch nicht bewältigten Herausforderung in Ihrem Unternehmen? Dann melden Sie sich gerne bei uns! Unsere Teamlead Businessdevelopment Vivienne Offermanns-Ohnesorge freut sich auf Ihre Herausforderungen.
Ihr Glanos Team
Data to boost your business.