Suche senden
Hochladen
Datenschutz-Folgenabschätzung
•
1 gefällt mir
•
69 views
M
Michael Rohrlich
Folgen
Praxis-Webinar zur Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO
Weniger lesen
Mehr lesen
Recht
Melden
Teilen
Melden
Teilen
1 von 43
Empfohlen
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?
comspace GmbH & Co. KG
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & Datensicherheit
inPuncto GmbH
Social Media & Datenschutzrecht
Social Media & Datenschutzrecht
Michael Rohrlich
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
Michael Rohrlich
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Michael Rohrlich
Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101
Agostino Pedone
Empfohlen
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
Was ist ein Hinweisgebersystem?
Was ist ein Hinweisgebersystem?
comspace GmbH & Co. KG
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & Datensicherheit
inPuncto GmbH
Social Media & Datenschutzrecht
Social Media & Datenschutzrecht
Michael Rohrlich
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
Michael Rohrlich
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
Michael Rohrlich
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Michael Rohrlich
Presentazione d. lgs. 10 agosto 2018 n. 101
Presentazione d. lgs. 10 agosto 2018 n. 101
Agostino Pedone
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
Dimitri Sirota
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
Michael Rohrlich
I crimini informatici
I crimini informatici
Giovanni Fiorino
La Firma Digitale
La Firma Digitale
Antongiulio Bua
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
Douglas Siviotti
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Simone Chiarelli
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Simone Chiarelli
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira
GDPR RACI.pdf
GDPR RACI.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
LGPD Descomplicada
LGPD Descomplicada
Maicon Alvim
Artesoftware Explicando LGPD
Artesoftware Explicando LGPD
Douglas Siviotti
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
Il rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica Galli
PrimariaLSantucci
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
Marco Marcellini
E Commerce Apresentacao Final
E Commerce Apresentacao Final
Nuno Mestre
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )
Marco Garcia
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
Simone Chiarelli
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Simone Aliprandi
HR in agilen Umgebungen
HR in agilen Umgebungen
Frank Edelkraut
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
Eliézer Zarpelão
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
Cyber risk
Cyber risk
André Wohlert
Weitere ähnliche Inhalte
Was ist angesagt?
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
Dimitri Sirota
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
Michael Rohrlich
I crimini informatici
I crimini informatici
Giovanni Fiorino
La Firma Digitale
La Firma Digitale
Antongiulio Bua
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
Douglas Siviotti
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Simone Chiarelli
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Simone Chiarelli
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira
GDPR RACI.pdf
GDPR RACI.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
LGPD Descomplicada
LGPD Descomplicada
Maicon Alvim
Artesoftware Explicando LGPD
Artesoftware Explicando LGPD
Douglas Siviotti
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
Il rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica Galli
PrimariaLSantucci
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
Marco Marcellini
E Commerce Apresentacao Final
E Commerce Apresentacao Final
Nuno Mestre
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )
Marco Garcia
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
Simone Chiarelli
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Simone Aliprandi
HR in agilen Umgebungen
HR in agilen Umgebungen
Frank Edelkraut
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
Eliézer Zarpelão
Was ist angesagt?
(20)
BigID GDPR Compliance Automation Webinar Slides
BigID GDPR Compliance Automation Webinar Slides
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
I crimini informatici
I crimini informatici
La Firma Digitale
La Firma Digitale
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
GDPR RACI.pdf
GDPR RACI.pdf
LGPD Descomplicada
LGPD Descomplicada
Artesoftware Explicando LGPD
Artesoftware Explicando LGPD
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Il rischio cancerogeno, di Veronica Galli
Il rischio cancerogeno, di Veronica Galli
GDPR introduzione al nuovo Regolamento per la Protezione Dati
GDPR introduzione al nuovo Regolamento per la Protezione Dati
E Commerce Apresentacao Final
E Commerce Apresentacao Final
BI - Uso e Benefícios ( Business Intelligence )
BI - Uso e Benefícios ( Business Intelligence )
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
Tutto ciò che un bibliotecario deve sapere sul diritto d’autore (Milano, ott....
HR in agilen Umgebungen
HR in agilen Umgebungen
A importância da Segurança da Informação e os impactos da LGPD
A importância da Segurança da Informação e os impactos da LGPD
Ähnlich wie Datenschutz-Folgenabschätzung
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
Cyber risk
Cyber risk
André Wohlert
Infobrief 01 Datenschutz
Infobrief 01 Datenschutz
Patrick Nadler
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
Bernd Fuhlert
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
Michael Rohrlich
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
Andreas Klöcker
Informationssicherheitsmanagment
Informationssicherheitsmanagment
Claus Brell
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
&Data Training
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
mmi-consult
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Alexander Talmon LL.M.
Ähnlich wie Datenschutz-Folgenabschätzung
(10)
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Cyber risk
Cyber risk
Infobrief 01 Datenschutz
Infobrief 01 Datenschutz
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
Informationssicherheitsmanagment
Informationssicherheitsmanagment
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Mehr von Michael Rohrlich
Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
Michael Rohrlich
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Michael Rohrlich
Impressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
Michael Rohrlich
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Michael Rohrlich
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Michael Rohrlich
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
Michael Rohrlich
Datenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
Michael Rohrlich
Datenschutz im Internet
Datenschutz im Internet
Michael Rohrlich
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
Michael Rohrlich
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
Michael Rohrlich
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
Michael Rohrlich
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
Michael Rohrlich
Social Media Recht
Social Media Recht
Michael Rohrlich
E-Commerce-Recht
E-Commerce-Recht
Michael Rohrlich
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
Michael Rohrlich
Datenschutz im internet
Datenschutz im internet
Michael Rohrlich
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
Michael Rohrlich
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
Michael Rohrlich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Michael Rohrlich
Mehr von Michael Rohrlich
(20)
Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Impressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
Datenverarbeitung durch Dritte
Datenverarbeitung durch Dritte
Datenschutz im Internet
Datenschutz im Internet
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
Social Media Recht
Social Media Recht
E-Commerce-Recht
E-Commerce-Recht
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
Datenschutz im internet
Datenschutz im internet
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Datenschutz-Folgenabschätzung
1.
Die Datenschutz-Folgenabschätzung: Das unbekannte
Wesen DSFA NACH ART. 35 DSGVO
2.
©2022 Privacy Xperts Datenschutz-Folgenabschätzung Ihr
Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de zugelassen als Rechtsanwalt seit 03/2003 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 geprüfter Datenschutz- auditor (Haufe) seit 02/2022 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998
3.
Agenda: 1. Einführung 2. Schwellwertanalyse 3.
Risikoeinstufung 4. Durchführung der DSFA 5. Praxistipps ©2022 Privacy Xperts Datenschutz-Folgenabschätzung
4.
Einführung ©2021 Privacy Xperts
5.
©2022 Privacy Xperts Einführung DSFA
…muss das sein?!
6.
©2022 Privacy Xperts Einführung Art.
5 Abs. 1 lit. f) DSGVO „Personenbezogene Daten müssen […] f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“
7.
©2022 Privacy Xperts Einführung Art.
32 Abs. 1 DSGVO „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
8.
©2022 Privacy Xperts Einführung Art.
32 Abs. 2 DSGVO „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
9.
©2022 Privacy Xperts Einführung Art.
32 Abs. 2 DSGVO „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“ Art. 4 Nr. 12 DSGVO „‘Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
10.
©2022 Privacy Xperts Einführung Art.
35 Abs. 1 DSGVO „Hat eine Form der Verarbeitung, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Art. 35 Abs. 1 DSGVO „[…] insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung […]“ hohes Risiko für die Betroffenen, nicht für den Verantwortlichen
11.
©2022 Privacy Xperts Einführung Risikobewertung
/ Schwellwertanalyse Prüfung DSFA-Pflicht ggf. Durchführung der DSFA ggf. Konsultation der Aufsichtsbehörde ggf. weitere Schritte
12.
Schwellwertanalyse ©2021 Privacy Xperts
13.
©2022 Privacy Xperts Schwellwertanalyse Natur Hochwasser, Erdbeben,
Feuer, Blitzschlag, etc. Menschen intern (Mitarbeiter…) absichtlich aus Versehen extern (Dienstleister…) absichtlich aus Versehen
14.
©2022 Privacy Xperts Schwellwertanalyse Schutzobjekt:
Vogel Schutzmaßnahme: Käfig Bedrohung: Katze Schwachstelle: Tür VKKT-Modell
15.
©2022 Privacy Xperts Schwellwertanalyse Art.
32 Abs. 1 DSGVO „Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“ ErwGr. 76 DSGVO „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“
16.
©2022 Privacy Xperts Schwellwertanalyse Eintritts- wahrschein- lichkeit
einer Bedrohung Schwere der Auswirkung (Schadens- potential) Höhe des Risikos für Rechte & Freiheiten der Betroffenen
17.
©2022 Privacy Xperts Schwellwertanalyse Vernachlässigbar
Eingeschränkt Signifikant Maximal Vernachlässigbar 1 2 3 4 Eingeschränkt 2 4 6 8 Signifikant 3 6 9 12 Maximal 4 8 12 16 Legende: - grün: alles ok - gelb: ggf. handeln - rot: ASAP handeln!
18.
©2022 Privacy Xperts Schwellwertanalyse Beispiel:
Verlust des beruflichen Smartphones
19.
ErwGr. 75
DSGVO – Abwägungskriterien / potentielle Risiken [1/2] Diskriminierung Identitätsdiebstahl oder -betrug finanzieller Verlust Rufschädigung Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten unbefugte Aufhebung der Pseudonymisierung sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO) Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern) Verarbeitung einer großen Menge von Daten große Anzahl von Betroffenen ©2022 Privacy Xperts Schwellwertanalyse
20.
ErwGr. 75
DSGVO – Abwägungskriterien / potentielle Risiken [2/2] Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insbesondere von Arbeitsleistung wirtschaftliche Lage Gesundheit persönliche Vorlieben / Interessen Zuverlässigkeit Verhalten Aufenthaltsort / Ortswechsel ©2022 Privacy Xperts Schwellwertanalyse
21.
ErwGr. 85
DSGVO – potentielle Schäden physischer, materieller oder immaterieller Schaden, z.B. Verlust der Kontrolle eigener Daten Einschränkung der Betroffenenrechte Diskriminierung Identitätsdiebstahl oder –betrug finanzielle Verluste unbefugte Aufhebung der Pseudonymisierung Rufschädigung Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile ©2022 Privacy Xperts Schwellwertanalyse
22.
Risikoeinstufung ©2021 Privacy Xperts
23.
©2022 Privacy Xperts Risikoeinstufung hohes
Risiko (normales) Risiko niedriges Risiko
24.
©2022 Privacy Xperts Risikoeinstufung Art.
35 Abs. 1 DSGVO „Hat eine Form der Verarbeitung […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“
25.
©2022 Privacy Xperts Risikoeinstufung Checkliste
DSFA keine Ausnahme (Art. 35 Abs. 5, 10)? Verarbeitung auf Positivliste (Art. 35 Abs. 4)? Regelbeispiel i.S.v. Art. 35 Abs. 3? hohes Risiko gem. Leitlinien der Art.-29-Gruppe (wp248)? sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1?
26.
©2022 Privacy Xperts Risikoeinstufung Ausnahme
gem. Art. 35 Abs. 5 DSGVO? „Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.“ Bsp. Whitelist Österreich • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung • Personalverwaltung • Mitgliederverwaltung • Kundenbetreuung und Marketing für eigene Zwecke • Sach- und Inventarverwaltung • Register, Evidenzen, Bücher • Zugriffsverwaltung für EDV-Systeme • …
27.
©2022 Privacy Xperts Risikoeinstufung Ausnahme
gem. Art. 35 Abs. 10 DSGVO? „Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz- Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.“
28.
©2022 Privacy Xperts Risikoeinstufung Bsp.
Positivliste für den nicht-öffentlichen Bereich (DSK) gem. Art. 35 Abs. 4 DSGVO Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke große Anwaltssozietät / große Arztpraxis Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren Fraud-Prevention-Systeme Scoring durch Auskunfteien, Banken oder Versicherungen Betrieb von Bewertungsportalen Inkassodienstleistungen – Factoring Geolokalisierung von Beschäftigten Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden Kundensupport mittels künstlicher Intelligenz Telefongespräch-Auswertung mittels Algorithmen Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
29.
©2022 Privacy Xperts Risikoeinstufung Regelbeispiel
i.S.v. Art. 35 Abs. 3 DSGVO systematische & umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen, umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art 9, 10 DSGVO systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
30.
©2022 Privacy Xperts Risikoeinstufung hohes
Risiko i.S.d. Leitlinien der Art.-29-Gruppe (wp248) Evaluierung- oder Scoring-Maßnahmen automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling) systematische Beobachtung von Betroffenen Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang verarbeitete personenbezogene Daten Abgleich bzw. Kombination versch. Datensätze personenbezogene Daten verletzlicher Datensubjekte Einsatz neuartiger Lösungen / Technologien Übermittlung personenbezogener Daten in Drittstaaten Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst / Vertrag zu nutzen
31.
©2022 Privacy Xperts Risikoeinstufung DSFA
(+) DSFA (-) Verarbeitung med. Daten durch Krankenhaus Verarbeitung med. Daten durch Einzelarzt Kameraüberwachung auf Schnellstraßen Abonnenten-Liste eines Online- Magazins system. Überwachung von Beschäftigten durch Arbeitgeber Profilbildung durch auf Website eingebundene Werbeanzeigen Profilbildung mit öffentl. zugänglichen Daten aus sozialen Netzwerken Betrieb einer Bonitätsdatenbank Beispiele aus wp248 der Art.-29-Gruppe
32.
©2022 Privacy Xperts Risikoeinstufung sonstiges
hohes Risiko i.S.v. Art. 35 Abs. 1 DSGVO insbesondere… • bei Verwendung neuer Technologien (z.B. KI) • aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
33.
Durchführung der DSFA ©2021
Privacy Xperts
34.
©2022 Privacy Xperts Durchführung
der DSFA frühzeitige Hinzuziehung des DSB (Art. 35 Abs. 2 DSGVO) „Der Verantwortliche holt bei der Durchführung einer Datenschutz- Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“
35.
©2022 Privacy Xperts Durchführung
der DSFA Rückfragen bei Betroffenen (Art. 35 Abs. 9 DSGVO) „Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“
36.
©2022 Privacy Xperts Durchführung
der DSFA Mindest-Inhalt der DSFA (Art. 35 Abs. 7 DSGVO) systematische Beschreibung der geplanten Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten berechtigten Interessen Bewertung der Notwendigkeit & Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird
37.
©2022 Privacy Xperts Durchführung
der DSFA Checkliste Anlass der Durchführung der DSFA Zweck der Datenverarbeitung Rechtsgrundlage der Datenverarbeitung Beschreibung der Datenverarbeitung Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung Bewertung des Risikos der Datenverarbeitung für die betroffenen Personen Darstellung der geplanten Maßnahmen zur Abhilfe des Risikos Testbetrieb Change-Management Ergebnis Wiedervorlage
38.
©2022 Privacy Xperts Durchführung
der DSFA PDCA-Zyklus (Art. 35 Abs. 11 DSGVO) „Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.“
39.
©2022 Privacy Xperts Durchführung
der DSFA Konsultation der zust. Aufsichtsbehörde (Art. 36 Abs. 3 DSGVO)? ggf. Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen die Zwecke und die Mittel der beabsichtigten Verarbeitung die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien ggf. die Kontaktdaten des DSB die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO alle sonstigen von der Aufsichtsbehörde angeforderten Informationen
40.
Praxistipps ©2021 Privacy Xperts
41.
https://www.cnil.fr/en/privacy- impact-assessment-pia ©2022 Privacy Xperts Praxistipps
42.
©2022 Privacy Xperts Praxistipps
Praxistipps / Hilfestellungen BayLDA: Durchführung einer DSFA gem. Art. 35 in Anlehnung an die ISO/IEC 29134 Datenschutzzentrum: Durchführung einer DSFA gem. Art. 35 mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“- Verfahrens GMDS: Beispiel für eine DFSA gem. Art. 35 (Krankenhaus-Informationssystem) BayLfD: Beispiel DSFA Erforderlichkeitsprüfung / DSFA-Bericht Forum Privatheit: Whitepaper DSFA GDD: Praxishilfe XIV Fraunhofer Institut: Handbuch zur DSFA (kostenfrei) DSK: Kurzpapier Nr. 5 Corona Warn App: Bericht zur DSFA
43.
©2021 Privacy Xperts Datenschutz-Folgenabschätzung
(DSFA) Ihr Referent: Rechtsanwalt Michael Rohrlich Vielen Dank für Ihre Aufmerksamkeit! Gibt es noch Fragen? Wie sind Ihre Erfahrungen beim Umgang mit der DSFA in der Praxis?