Risikoanalyse & Datenschutzfolgenabschätzung
Muster-Vorlage

Die EU-Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Sie eine Datenschutzfolgenabschätzung (kurz: DSFA) in Ihrem Unternehmen durchführen müssen, bevor Sie sensible Daten weiterverarbeiten lassen. Falls Sie in Ihrer Firma einen Datenschutzbeauftragten ernannt haben, so kann dieser Ihnen mit Rat und Tat zur Seite stehen. Andernfalls sind Sie erstmal auf sich allein gestellt.

Ungeachtet dessen, welches von diesen Szenarien auf Sie zutreffen mag, kann eine Datenschutzfolgenabschätzung Vorlage Ihnen dabei helfen, den Prozess einfach und zügig hinter sich zu bringen. Ebenfalls kann diese Sie dabei unterstützen, dass Sie die DSFA rechtmäßig realisieren. Aus diesem Grund haben wir Ihnen auf dieser Seite ein DSFA Muster zum Download zur Verfügung gestellt. Somit können Sie sich (und gegebenenfalls Ihrem Datenschutzbeauftragten) mit einem Klick eine Menge Arbeit ersparen.

Muster: Datenschutzfolgenabschätzung Vorlage nach DSGVO

Die Datenschutzfolgenabschätzung dient gemäß DSGVO dazu, die Risiken und deren möglichen Folgen für die persönliche Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen zu bewerten und sich Gedanken darüber zu machen, wie diese bewältigt werden können. Demzufolge ist diese Art der Risikoanalyse für Ihr Unternehmen von höchster Bedeutung.

Sollten Sie noch unschlüssig darüber sein, wie eine Datenschutzfolgenabschätzung auszusehen hat, empfehlen wir Ihnen, unser DSFA Muster herunterzuladen. In dieser Vorlage haben wir übersichtlich und strukturiert alle Aspekte aufgenommen, die für eine Folgenabschätzung nach DSGVO notwendig sind.

Häufige Fragen zur Datenschutzfolgenabschätzung (DSFA)

Bei der Datenschutzfolgenabschätzung (abgekürzt: DSFA) handelt es sich um eine strukturierte Risikoanalyse, welche Sie immer dann durchführen müssen, bevor Sie eine Datenverarbeitung von sensiblen Daten veranlassen. Die genauen Bestimmungen für die Datenschutzfolgenabschätzung sind in Art. 35 der EU-Datenschutz-Grundverordnung (DSGVO) festgelegt.

Mittels der Risikoanalyse im Zuge der DSFA soll vorab untersucht und bewertet werden, welche Folgen die in Ihrem Unternehmen oder im Auftrag Ihres Unternehmens abgewickelten Datenverarbeitungsvorgänge möglicherweise haben könnten. Dadurch soll ein ausreichender Schutz für die zu verarbeitenden personenbezogenen Daten gewährleistet werden.

Die DSFA ist vergleichbar mit der früher im deutschen Bundesdatenschutzgesetz (BDSG) festgeschriebenen Vorabkontrolle (§ 4d Abs. 5 BDSG). Eine solche Kontrolle war stets dann zu realisieren, wenn besondere Daten im Sinne des § 3 Abs. 9 BDSG verarbeitet wurden oder die Datenverarbeitung den Zweck hatte, die Persönlichkeit der betroffenen Person, mitsamt seiner Fähigkeiten und Leistungen sowie seines Verhaltens zu bewerten. Unter gewissen Umständen konnte von dieser Vorabkontrolle aber auch abgesehen werden.

In welchem Fall Sie eine Datenschutzfolgenabschätzung durchzuführen haben, ist in Art. 35 DSGVO nachzulesen. Sie müssen eine DSFA gemäß Art. 35 Abs 1 DSGVO stets dann durchführen, wenn:

“[…] eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]”.

Dies trifft zu, wenn Sie:

persönliche Aspekte natürlicher Personen systematisch und umfassend bewerten und sich die Bewertung auf automatisierte Datenverarbeitung (einschließlich Profiling) stützt sowie als Grundlage für Entscheidungen dient, die gegenüber natürlichen Personen Rechtswirkung entfalten oder diese auf eine ähnlich erhebliche Weise beeinträchtigen;
spezielle Kategorien von personenbezogenen Daten (gemäß Art. 9 Abs 1 DSGVO) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (gemäß Art. 10 DSGVO) umfassend verarbeiten;
öffentlich zugängliche Bereiche systematisch und umfangreich überwachen.

Falls Sie mehrere Verarbeitungstätigkeiten untersuchen, die sich ähnlich sind und zudem ähnlich hohe Risiken innehaben, so reicht es aus, für diese eine einzige strukturierte Risikoanalyse zur Folgenabschätzung vorzunehmen.

Was eine Datenschutzfolgenabschätzung zu beinhalten hat, erfahren Sie in Art. 35 Abs 7 DSGVO. Darin ist nachzulesen, welche Mindestanforderungen die DSFA zu erfüllen hat.

Laut diesen Mindestanforderungen müssen Sie:

• die geplanten Datenverarbeitungsvorgänge und den Verarbeitungszweck, sowie fallweise noch dazu die Interessen des für die Verarbeitung Verantwortlichen, systematisch beschreiben;
• die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitungstätigkeiten hinsichtlich des jeweiligen Zwecks analysieren und bewerten;
• die möglichen Risiken für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen Personen analysieren und bewerten;
• die geplanten Abhilfemaßnahmen zur Bewältigung der Risiken festhalten, inklusive Garantien, Sicherheitsvorkehrungen und weiteren Verfahren zum Schutz der personenbezogenen Daten sowie zur Einhaltung der Datenschutzverordnung.

Sollten Sie in Ihrem Unternehmen einen Datenschutzbeauftragten ernannt haben, müssen Sie laut Art. 35 Abs. 2 DSGVO diesen bei der Durchführung der strukturierten Risikoanalyse im Sinne der DSFA zu Rate ziehen. Um Ihrem Datenschutzbeauftragten und Ihnen selbst einen besseren Überblick darüber zu gewähren, wie eine DSFA auszusehen hat, können Sie hier ein Datenschutz-Folgenabschätzung Muster herunterladen.