Datenschutz Informationssicherheit KI-Compliance Unternehmens-Compliance

Datenschutz-Risikomanagement & Datenschutz-Folgenabschätzung

Datenschutz-Risiken systematisch erkennen und beherrschen. Von der Pflicht-DSFA bis zum laufenden Risikomanagement für alle Verarbeitungstätigkeiten.

DSGVO Art. 35 Externer DSB BDSG
Warum Datenschutz-Risikomanagement?

Nicht jede Verarbeitung braucht eine DSFA, aber jede braucht eine Risikobetrachtung.

Die DSGVO fordert eine risikobasierte Herangehensweise an den Datenschutz. Das bedeutet: Für alle Verarbeitungstätigkeiten ist das Risiko für betroffene Personen zu beurteilen. Bei hohem Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) Pflicht, sonst drohen empfindliche Bußgelder.

Wir begleiten Sie bei der Einschätzung, wann eine DSFA erforderlich ist, führen diese durch und etablieren ein laufendes Risikomanagement für Ihre Verarbeitungstätigkeiten.

Geplante Gesetzesänderung

Das EU-Omnibus-Paket sieht Entlastungen bei zwei zentralen Pflichten vor. Beim Verarbeitungsverzeichnis (Art. 30 DSGVO) soll die Dokumentationspflicht für Unternehmen mit geringem Verarbeitungsrisiko vereinfacht werden. Bei der DSFA soll der Anwendungsbereich klarer auf Verarbeitungen mit tatsächlich hohem Risiko fokussiert und der Prozess gestrafft werden. Beide Vorhaben befinden sich noch im Gesetzgebungsverfahren. Bis zum Inkrafttreten gelten die aktuellen Pflichten vollumfänglich.

Wann ist eine DSFA Pflicht?

  • Systematische Überwachung öffentlich zugänglicher Bereiche
  • Profiling mit erheblicher rechtlicher Wirkung auf Betroffene
  • Umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO)
  • Einsatz neuer Technologien mit noch nicht abschätzbaren Risiken
  • Automatisierte Entscheidungen mit wesentlichen Auswirkungen
  • Verarbeitungen auf der Muss-Liste der Datenschutzkonferenz
Unser Vorgehen

DSFA in vier strukturierten Schritten.

01

Schwellenwert­prüfung

Prüfung jeder Verarbeitung auf DSFA-Pflicht. Berücksichtigung der DKK-Muss-Liste.

02

Systematische Beschreibung

Vollständige Beschreibung der Verarbeitung, der verfolgten Zwecke, der betroffenen Personengruppen und der Datenkategorien.

03

Risikobewertung

Beurteilung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden für betroffene Personen. Identifikation der Risikoquellen.

04

Maßnahmen & Review

Festlegung geeigneter TOMs zur Risikominderung. Dokumentation des verbleibenden Restrisikos und regelmäßiger Review-Zyklus.

Leistungsumfang

Was wir für Sie übernehmen.

Datenschutz-Folgenabschätzung

  • Schwellenwertanalyse und Dokumentation der Entscheidung
  • Erstellung der vollständigen DSFA-Dokumentation
  • Einbeziehung des Datenschutzbeauftragten gemäß Art. 35 Abs. 2
  • Vorbereitung der Behörden-Konsultation bei verbleibendem hohen Risiko

Datenschutz-Risikomanagement

  • Risikoklassifizierung aller VVT-Einträge (niedrig / mittel / hoch)
  • Jährlicher Review und anlassbezogene Aktualisierung
  • Integration in das Datenschutzmanagementsystem
  • Berichterstattung an die Geschäftsführung

Technische Schutzmaßnahmen

  • Ableitung geeigneter TOMs aus der Risikobeurteilung
  • Verhältnismäßigkeitsprüfung der Maßnahmen
  • Dokumentation im Verarbeitungsverzeichnis
  • Review bei technischen oder organisatorischen Änderungen

Auftragsverhältnisse & Dritte

  • Risikobewertung bei Einsatz von Auftragsverarbeitern
  • Prüfung von Drittlandtransfers (SCC, Angemessenheitsbeschlüsse)
  • Transfer Impact Assessments (TIA)
  • Dokumentation für Aufsichtsbehörden und Prüfungen
FAQ

Häufige Fragen zum Datenschutz-Risikomanagement und zur DSFA.

Verwandte Themen

Eine DSFA ist eine vorgeschriebene Risikoanalyse nach Art. 35 DSGVO für Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen. Sie muss vor Beginn der Verarbeitung durchgeführt werden.

Eine DSFA ist insbesondere dann verpflichtend, wenn Verarbeitungen ein hohes Risiko für Betroffene begründen. Das gilt vor allem für die systematische und umfassende Bewertung persönlicher Aspekte durch automatische Verarbeitung, die umfangreiche Verarbeitung besonderer Datenkategorien sowie die systematische Überwachung öffentlich zugänglicher Bereiche. Darüber hinaus haben die Datenschutzbehörden sogenannte Muss-Listen veröffentlicht, die weitere verpflichtende Anwendungsfälle konkretisieren.

Eine DSFA besteht aus vier Kernbestandteilen: Zunächst wird die Verarbeitung vollständig beschrieben, einschließlich Zweck, Datenkategorien und beteiligter Stellen. Dann folgt eine Notwendigkeits- und Verhältnismäßigkeitsprüfung. Der dritte Schritt bewertet konkret, welche Risiken für Betroffene entstehen. Schließlich werden Maßnahmen zur Risikominderung festgelegt. Verbleibt trotz aller Maßnahmen ein hohes Restrisiko, ist eine Vorabkonsultation bei der Aufsichtsbehörde erforderlich.

Eine DSFA ist eine formelle Pflichtprüfung für bestimmte Hochrisiko-Verarbeitungen. Allgemeines Datenschutz-Risikomanagement ist ein breiterer, kontinuierlicher Prozess zur Bewertung und Steuerung aller datenschutzrelevanten Risiken.

Eine DSFA muss überprüft und aktualisiert werden, wenn sich wesentliche Änderungen an der Verarbeitung ergeben oder wenn neue Risikoinformationen vorliegen. Wir empfehlen eine jährliche Überprüfung.

Der Aufwand hängt von der Komplexität der Verarbeitungsvorgänge ab. Nach einem kostenlosen Erstgespräch erhalten Sie eine transparente Aufwandsschätzung.

DSFA-Pflicht erkannt. Und jetzt?

Nutzen Sie die Gelegenheit und sprechen Sie uns an. Unverbindlich.

Kostenloses Erstgespräch buchen