Datenschutzfolgeabschätzung (DSFA)

Mit dem Inkrafttreten der Europäischen Datenschutz Grundverordnung (EUDSGVO) sind sowohl auf große Konzerne als auch auf kleine Unternehmer weitreichende Pflichten zugekommen. Neben Richtlinien zu Speicherverfahren stellt die Datenschutzfolgeabschätzung (DSFA) einen wesentlichen Punkt der Gesetzesänderung dar, die seit Mai 2018 für alle Dienstleister und öffentliche Institutionen im europäischen Raum gilt.

Das Wesentliche der Datenschutzfolgeabschätzung ist schnell erklärt: Der Nutzer/Kunde/Vertragspartner eines in Europa ansässigen Unternehmens muss über die Folgen einer möglichen Verletzung seiner Rechte und Freiheiten informiert werden. Somit liegt die Pflicht zur Maßnahmenergreifung beim Dienstleister. Ausschlaggebend für den Umfang der Abschätzung ist das Risikopotenzial: Besteht ein hohes Risiko an Datenverlust beziehungsweise –missbrauch oder Verletzung der Datenschutzrichtlinie, muss der Verantwortliche eine Vorab-Untersuchung in Auftrag stellen. Diese kann, sofern „natürliche Personen“ betreffend, individuell ausfallen oder im Rahmen mehrerer ähnlicher Verarbeitungsvorfälle allgemein gehalten sein. Für diese Aufgabe können externe Datenbeauftragte zurate gezogen werden.

Sinn und Zweck einer DSFA ist es, eine Sicherheitsstrategie zu entwickeln. An dieser können sich Personen orientieren, die mit dem Unternehmen beziehungsweise Dienstleister in Kontakt treten. Zudem dient die Abschätzung der Selbstkontrolle: Wurde der Umfang der Verarbeitungsvorgänge im Falle einer Verletzung der Datenschutzrichtlinien erschlossen, verfügen die zuständigen Abteilungen über einen konkreten Maßnahmenkatalog und können den Arbeitsaufwand im Rahmen der Schadensbegleichung abschätzen. Die folgende Checkliste dient einer Evaluierung der Notwendigkeit und Vorgehensweise. Von zentraler Bedeutung ist überdies der Austausch mit Aufsichtsbehörden aufseiten der EU, die als Prüforgane agieren.

Für wen und in welchem Umfang die Richtlinien der Datenschutzfolgeabschätzung gelten, erfahren Sie im Gesetzestext der Europäischen Union, der seit dem 25. Mai 2018 die bisherige Richtlinie zum Schutz natürlicher Personen abgelöst hat.