Javascript is required
logo-dastralogo-dastra

Wie führt man eine Datenschutz-Folgenabschätzung (DSFA) durch?

Wie führt man eine Datenschutz-Folgenabschätzung (DSFA) durch?
Marine Boquien
Marine Boquien
5 Februar 2025·5 Lesezeit

Analyse d'impact définition

Die Datenschutz-Folgenabschätzung (DSFA; französisch AIPD, auch PIA genannt) ist erforderlich, wenn eine Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

Die DSFA gliedert sich in drei Teile:

  1. Eine generische Beschreibung der Verarbeitung: dies umfasst sowohl technische als auch operative Aspekte.

  2. Eine rechtliche Bewertung der Verarbeitung: hierbei ist die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf die durch das Gesetz „Loi Informatique et Libertés“ und die DSGVO festgelegten Grundsätze und Grundrechte zu analysieren. Diese beiden Grundsätze schließen mindestens den Zweck der Verarbeitung, Datenminimierung, Speicherdauer, die Information und die Wahrung der Rechte der betroffenen Personen in Bezug auf ihre personenbezogenen Daten ein. Sie sind vom Verantwortlichen unabhängig von den eingegangenen Risiken für die Rechte und Freiheiten der betroffenen Personen einzuhalten.

  3. Eine technische Analyse der Risiken für die Sicherheit personenbezogener Daten: dieser Teil besteht darin, eine technischere Analyse der Risiken in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit der Daten durchzuführen. Ziel ist es, alle potenziellen Risiken für die Daten zu bestimmen und die notwendigen technischen und organisatorischen Maßnahmen zu ergreifen, um die Daten gegen diese Risiken zu schützen.

Qui participe à la réalisation d'une analyse d'impact ?

Entdecken Sie die Akteure, die an der DSFA teilnehmen werden:

  • Der für die Verarbeitung Verantwortliche (Verantwortlicher): dieser muss die Datenschutz-Folgenabschätzung (DSFA) genehmigen und sich zusammen mit den operativen Einheiten verpflichten, den darin festgelegten Aktionsplan umzusetzen.

  • Der Datenschutzbeauftragte (DSB): dieser ist mit der Erstellung der DSFA beauftragt, arbeitet mit dem IT-Sicherheitsbeauftragten (RSSI) bei der Ausarbeitung des Aktionsplans zusammen und muss dessen Umsetzung überwachen. Der DSB kann jede Person hinzuziehen, deren Unterstützung er für nützlich oder notwendig erachtet, um die DSFA zu erstellen.

  • Der Auftragsverarbeiter: dieser muss alle zur Erstellung der DSFA erforderlichen Informationen bereitstellen.

  • Schließlich können die betroffenen Personen ihre Stellungnahme zur Verarbeitung, die Gegenstand der DSFA ist, äußern, da sie direkt betroffen sind.

Quand faire une analyse d'impact ?

Idealerweise muss die DSFA vor der Einführung der Verarbeitung durchgeführt werden. Sie sollte so früh wie möglich verfasst und finalisiert und im Verlauf der Verarbeitung regelmäßig aktualisiert werden.

Es ist wesentlich, die Datenschutz-Folgenabschätzung regelmäßig zu überprüfen (z. B. jährlich oder monatlich), um sicherzustellen, dass das Risikoniveau im Laufe der Zeit akzeptabel bleibt. Dies ist besonders wichtig, da sich das Umfeld und der Kontext der Verarbeitung, insbesondere technischer und personeller Natur, ändern können, was fortlaufende Anpassungen und Korrekturen der umgesetzten Maßnahmen erfordert.

Quand est-ce qu'une analyse d'impact n'est pas requise ?

Eine Datenschutz-Folgenabschätzung (DSFA) ist in folgenden Situationen nicht erforderlich:

  1. Wenn die Verarbeitung zu den von der CNIL nach Rücksprache mit dem EDPB (Europäischer Datenschutzausschuss) festgelegten Ausnahmen gehört.

  2. Bei einer Verarbeitung, die kein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.

  3. Wenn Art, Umfang, Kontext und Zwecke der geplanten Verarbeitung sehr ähnlich zu einer Verarbeitung sind, für die bereits eine DSFA durchgeführt wurde.

  4. Wenn die Verarbeitung einer gesetzlichen Verpflichtung unterliegt oder zur Erfüllung einer öffentlich-rechtlichen Aufgabe erforderlich ist (gemäß Artikel 6 DSGVO), vorausgesetzt, die folgenden drei Bedingungen sind erfüllt:

    • Die Verarbeitung stützt sich auf eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats (das nationale Recht, dem der Verantwortliche unterliegt).
    • Dieses Recht regelt die spezifische Verarbeitung, für die eine DSFA obligatorisch ist.
    • Eine DSFA wurde bereits zum Zeitpunkt der Verabschiedung dieser Rechtsgrundlage durchgeführt.

Rédiger une analyse d'impact (AIPD) : les différentes étapes

Hier sind die allgemeinen Schritte zur Durchführung einer Datenschutz-Folgenabschätzung:

  1. Den Umfang und den Kontext der Analyse definieren: identifizieren Sie klar, was in die Analyse einbezogen ist und was nicht. Dies kann Prozesse, Teams, Systeme, Interessengruppen usw. umfassen. Dieser Schritt ermöglicht es dem DSB, den Rahmen und den Inhalt der DSFA zu präzisieren.

  2. Die Beteiligten identifizieren: bestimmen Sie die betroffenen Personen und die Akteure der Verarbeitung, die direkt oder indirekt von der Verarbeitung betroffen sein werden. Dies kann Mitarbeiter, Kunden, Lieferanten usw. umfassen.

  3. Bewertungskriterien festlegen: definieren Sie die spezifischen Kriterien, die Sie zur Bewertung der Auswirkungen verwenden werden. Dies kann Aspekte wie Produktivität, Kundenzufriedenheit, Kosten, Qualität usw. umfassen.

  4. Daten sammeln: sammeln Sie relevante Informationen über Prozesse, Systeme, Teams und Beteiligte. Dies kann Interviews, Umfragen, Analyse bestehender Dokumente usw. umfassen.

  5. Die Auswirkungen bewerten: analysieren Sie die gesammelten Daten, um zu bestimmen, wie die Verarbeitung jeden identifizierten Aspekt beeinflussen wird. Klassifizieren Sie die Auswirkungen nach Schweregrad und Priorität.

  6. Maßnahmen zur Minderung identifizieren: schlagen Sie Maßnahmen vor, um negative Auswirkungen zu mindern und positive Auswirkungen der Verarbeitung zu stärken. Dies kann Schulungen, Anpassungen interner Prozesse, gezielte Kommunikation usw. umfassen.

  7. Einen Bericht zur Datenschutz-Folgenabschätzung vorbereiten: dokumentieren Sie Ihre Ergebnisse in einem klaren und verständlichen Bericht. Stellen Sie sicher, dass die Schlussfolgerungen der Analyse, die Empfehlungen und die Minderungs-/Aktionspläne enthalten sind.

  8. Die Ergebnisse kommunizieren: teilen Sie die Ergebnisse der DSFA mit den betroffenen Stakeholdern. Transparente Kommunikation trägt zum Verständnis und zur Akzeptanz der umzusehenden Maßnahmen oder der geplanten Änderungen bei, damit die beabsichtigte/ laufende Verarbeitung den Anforderungen des Datenschutzes entspricht.

  9. Überprüfen und aktualisieren: die DSFA ist ein iterativer Prozess. Überarbeiten Sie ihren Inhalt regelmäßig, während das Projekt voranschreitet, und passen Sie Ihre Minderungs- bzw. Aktionspläne entsprechend an.

Wenn Sie diese Schritte befolgen, sollten Sie in der Lage sein, eine vollständige und ausreichend tiefgehende Datenschutz-Folgenabschätzung durchzuführen, um die Folgen einer oder mehrerer als „sensibel“ eingestufter Verarbeitungen vorauszusehen.

Abonnieren Sie unseren Newsletter

Wir senden Ihnen gelegentlich E‑Mails, um Sie über Neuigkeiten und Weiterentwicklungen unserer Lösung auf dem Laufenden zu halten

* Sie können sich jederzeit von unserem Newsletter abmelden