- Anregungen und Hinweise für die Durchführung einer DSFA
Für einige Organisationen steht die DSFA ganz oben auf der Liste der mit der DSGVO verbundenen Aufgaben, die abgearbeitet werden müssen. Für viele kann die DSFA jedoch tatsächlich warten - oder zumindest vereinfacht werden, so dass sie nicht so viele Ressourcen benötigen. Die Geschäftsleitung erklärt, wann und wie Sie eine DSFA durchführen sollten.
Die DSGVO konzentriert sich auf den Schutz der Privatsphäre einer natürlichen Person und nicht auf die Organisationen, die personenbezogene Daten erheben, verarbeiten und speichern. Um sicherzustellen, dass so wenig wie möglich personenbezogene Daten verarbeitet werden, fordert die DSGVO von den Organisationen die Durchführung einer sogenannten Datenschutz-Folgenabschätzung (DSFA).
Die DSFA sollte eine Analyse der möglichen Konsequenzen für die betroffenen Personen darstellen, wenn die Prozesse oder Systeme eines Unternehmens personenbezogene Daten enthalten. Zum Beispiel: Welche Konsequenzen könnten für eine Person entstehen, wenn eine private Organisation Videokameras installiert hat, die auch öffentliche Bereiche überwachen? Kann diese Konsequenz akzeptiert werden, oder sollte diese Aktivität gestoppt werden?
Eine Konsequenz kann viele Dinge beinhalten
Jakob Holm Hansen, CEO, erklärt, wie wichtig es ist, zu verstehen, was das Wort "Konsequenz" im täglichen Betrieb einer Organisation wirklich bedeutet.
"Im Sinne der DSGVO kann eine Konsequenz unterschiedliche Bedeutungen haben. Sie betrifft alle Situationen, in denen die Verarbeitung von personenbezogenen Daten durch eine Organisation, der betroffenen Person die Möglichkeit zur Ausübung Ihrer grundlegenden Rechte einschränkt oder diese sogar gefährdet", erklärt Jakob Holm Hansen.
Dies könnte beispielsweise bedeuten, dass personenbezogene Daten online veröffentlicht werden, dass Menschenrechte verletzt werden, dass neue Technologien wie die Gesichtserkennung eingeführt werden oder ein automatischer Entscheidungsprozess wie eine systematische Bonitätsbeurteilung durchgeführt wird.
Stellen Sie die DSFA zurück
Jede Organisation muss beurteilen, in welchem Umfang die Verarbeitung personenbezogener Daten die Privatsphäre eines Einzelnen gefährden kann. Wenn dies nicht der Fall ist, empfiehlt Jakob Holm Hansen, die DSFA auf Eis zu legen.
"Tatsächlich muss nur eine geringe Anzahl von Organisationen eine DSFA durchführen. Wenn die Verarbeitung von sensiblen personenbezogenen Daten kein wesentlicher Bestandteil in Ihrer Organisation ist, empfehlen wir, zumindest nicht zu Beginn eine DSFA durchzuführen. Dies ist darauf zurückzuführen, dass die DSFAs in erster Linie für Organisationen bestimmt sind, in denen die Verarbeitung personenbezogener Daten im großen Maßstab im Mittelpunkt steht."
Machen Sie es so einfach wie möglich
Wenn Sie eine DSFA machen wollen, ermutigt Jakob Holm Hansen Organisationen, eine vereinfachte Form der DSFA durchzuführen. Es gibt keine formellen Anforderungen an eine DSFA in der DSGVO. Es gibt eine grundlegende Checkliste in den EU-Richtlinien, auf die Sie verweisen können, aber der eigentliche Prozess liegt letztendlich bei Ihnen.
"Um die Arbeitsbelastung zu minimieren, ist es auch möglich, Datenschutz-Folgenabschätzungen mehrfach zu nutzen. Organisationen, die die gleichen Datenverarbeitungsprozesse haben, müssen keine individuellen DSFAs durchführen, sondern können die gleichen Analyseergebnisse unternehmensweit verwenden ", erklärt Jakob Holm Hansen.
Erstellen Sie eine ausgewogene Sicherheitsstufe
Die DSGVO und die Datenschutzaufsichtsbehörden, die die Verordnung durchsetzen werden, betonen die Verhältnismäßigkeit bei der Bewertung der Bemühungen einer Organisation zur Einhaltung der DSGVO. Wenn Sie in der Regel ein sinnvolles Compliance-Programm und angemessene Sicherheitsmaßnahmen hinsichtlich der Art und der Menge der Datenverarbeitungsprozesse haben, dann ist nicht das Ergebnis einer DSFA der ausschlaggebende Faktor für den Fall eines Sicherheitsvorfalls.
"Unser allgemeiner Rat für Organisationen, die eine DSFA durchführen müssen, ist, mit einer vereinfachten Form zu beginnen, die den grundlegenden Anforderungen der EU-Checkliste entspricht. Dann können Sie diese zu einem späteren Zeitpunkt immer noch weiter ausbauen, vorausgesetzt Sie haben erst einmal alle anderen verpflichtenden DSGVO-Maßnahmen an Ort und Stelle eingerichtet", sagt Jakob Holm Hansen.
Fünf Tipps, die Sie bei der Durchführung einer DSFA beachten sollten
- Finden Sie heraus, ob Sie wirklich eine DSFA durchführen müssen. Viele Organisationen müssten das nicht zwingend tun.
- Wenn Sie eine DSFA durchführen wollen, dann beginnen Sie mit einer vereinfachten Form, die die grundlegenden Anforderungen der EU-Checkliste erfüllt. Sie können diese später immer noch erweitern.
- Wenn Sie eine DSFA durchgeführt haben, sollten Sie einen Überblick über die Risiken erhalten, die sich auf die verarbeiteten personenbezogenen Daten auswirken könnten. Beurteilen Sie die Risiken mit einer Zahl auf einer Skala von 1 bis 4, so dass Sie das Risikoniveau jedes Jahr vergleichen können.
- Beurteilen Sie, ob Sie Maßnahmen ergreifen können/müssen, die die Risiken für die einzelnen Personen begrenzen – z. B. erhöhen Sie Ihre Netzwerksicherheit, verschlüsseln Ihre Festplatten, ändern Ihre Sicherheitsrichtlinien usw.
- Beurteilen Sie kontinuierlich und mindestens einmal jährlich, ob Ihr Sicherheitsniveau mit dem Ausmaß der Auswirkungen für die betroffenen Personen übereinstimmt. Wenn Sie einen Datenschutzbeauftragten haben, sollte er an dieser Bewertung beteiligt sein.
