SlideShare ist ein Scribd-Unternehmen logo
1 von 43
Die Datenschutz-Folgenabschätzung:
Das unbekannte Wesen
DSFA NACH ART. 35 DSGVO
©2022 Privacy Xperts
Datenschutz-Folgenabschätzung
Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de
zugelassen als Rechtsanwalt
seit 03/2003
Video-Trainer bei LinkedIn
Learning / Microsoft (ehem.
video2brain) seit 07/2012
TÜV Süd zertifizierter
Datenschutzbeauftragter
(DSB-TÜV) seit 06/2012
geprüfter Datenschutz-
auditor (Haufe) seit 02/2022
HR Data Protection Manager
(Beck) seit 07/2021
Data Protection Risk
Manager (FOM) seit 10/2021
Vorstandsmitglied des
Webmasters Europe e.V.
seit 09/2010
Mitglied im Expertenrat des
Webmasters Europe e.V.
seit 03/2019
Fachautor seit 1997 /
Buchautor seit 2005
Dozent seit 1998
Agenda:
1. Einführung
2. Schwellwertanalyse
3. Risikoeinstufung
4. Durchführung der DSFA
5. Praxistipps
©2022 Privacy Xperts
Datenschutz-Folgenabschätzung
Einführung
©2021 Privacy Xperts
©2022 Privacy Xperts
Einführung
DSFA …muss das sein?!
©2022 Privacy Xperts
Einführung
Art. 5 Abs. 1 lit. f) DSGVO
 „Personenbezogene Daten müssen […]
f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der
personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder
unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter
Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und
organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“
©2022 Privacy Xperts
Einführung
Art. 32 Abs. 1 DSGVO
 „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der
Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der
unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte
und Freiheiten natürlicher Personen treffen der Verantwortliche und der
Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein
dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen
schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der
Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu
ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der
Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung
der Sicherheit der Verarbeitung.“
©2022 Privacy Xperts
Einführung
Art. 32 Abs. 2 DSGVO
 „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken
zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob
unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder
unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu
personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise
verarbeitet wurden.“
©2022 Privacy Xperts
Einführung
Art. 32 Abs. 2 DSGVO
 „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken
zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob
unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder
unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu
personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise
verarbeitet wurden.“
Art. 4 Nr. 12 DSGVO
 „‘Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der
Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum
Verlust, zur Veränderung, oder zur unbefugten Offenlegung von
beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten
führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet
wurden“
©2022 Privacy Xperts
Einführung
Art. 35 Abs. 1 DSGVO
 „Hat eine Form der
Verarbeitung, […]
voraussichtlich ein hohes Risiko
für die Rechte und Freiheiten
natürlicher Personen zur Folge,
so führt der Verantwortliche
vorab eine Abschätzung der
Folgen der vorgesehenen
Verarbeitungsvorgänge für den
Schutz personenbezogener
Daten durch.“
Art. 35 Abs. 1 DSGVO
 „[…] insbesondere bei Verwendung neuer
Technologien, aufgrund der Art, des
Umfangs, der Umstände und der Zwecke
der Verarbeitung […]“
hohes Risiko für die
Betroffenen, nicht für
den Verantwortlichen
©2022 Privacy Xperts
Einführung
Risikobewertung /
Schwellwertanalyse
Prüfung DSFA-Pflicht
ggf. Durchführung
der DSFA
ggf. Konsultation der
Aufsichtsbehörde
ggf. weitere Schritte
Schwellwertanalyse
©2021 Privacy Xperts
©2022 Privacy Xperts
Schwellwertanalyse
Natur
Hochwasser,
Erdbeben, Feuer,
Blitzschlag, etc.
Menschen
intern
(Mitarbeiter…)
absichtlich aus Versehen
extern
(Dienstleister…)
absichtlich aus Versehen
©2022 Privacy Xperts
Schwellwertanalyse
Schutzobjekt: Vogel
Schutzmaßnahme: Käfig
Bedrohung: Katze
Schwachstelle: Tür
VKKT-Modell
©2022 Privacy Xperts
Schwellwertanalyse
Art. 32 Abs. 1 DSGVO
 „Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und
Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der
Verantwortliche und der Auftragsverarbeiter geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu
gewährleisten […]“
ErwGr. 76 DSGVO
 „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang,
die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko
sollte anhand einer objektiven Bewertung beurteilt werden, bei der
festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko
birgt.“
©2022 Privacy Xperts
Schwellwertanalyse
Eintritts-
wahrschein-
lichkeit einer
Bedrohung
Schwere der
Auswirkung
(Schadens-
potential)
Höhe des
Risikos für
Rechte &
Freiheiten der
Betroffenen
©2022 Privacy Xperts
Schwellwertanalyse
Vernachlässigbar Eingeschränkt Signifikant Maximal
Vernachlässigbar
1 2 3 4
Eingeschränkt
2 4 6 8
Signifikant
3 6 9 12
Maximal
4 8 12 16
Legende:
- grün: alles ok
- gelb: ggf. handeln
- rot: ASAP handeln!
©2022 Privacy Xperts
Schwellwertanalyse
Beispiel: Verlust des beruflichen Smartphones
 ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [1/2]
 Diskriminierung
 Identitätsdiebstahl oder -betrug
 finanzieller Verlust
 Rufschädigung
 Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten
 unbefugte Aufhebung der Pseudonymisierung
 sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile
 unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen
 grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO)
oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO)
 Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)
 Verarbeitung einer großen Menge von Daten
 große Anzahl von Betroffenen
©2022 Privacy Xperts
Schwellwertanalyse
 ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [2/2]
 Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile),
insbesondere von
 Arbeitsleistung
 wirtschaftliche Lage
 Gesundheit
 persönliche Vorlieben / Interessen
 Zuverlässigkeit
 Verhalten
 Aufenthaltsort / Ortswechsel
©2022 Privacy Xperts
Schwellwertanalyse
 ErwGr. 85 DSGVO – potentielle Schäden
 physischer, materieller oder immaterieller Schaden, z.B.
 Verlust der Kontrolle eigener Daten
 Einschränkung der Betroffenenrechte
 Diskriminierung
 Identitätsdiebstahl oder –betrug
 finanzielle Verluste
 unbefugte Aufhebung der Pseudonymisierung
 Rufschädigung
 Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten
 andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
©2022 Privacy Xperts
Schwellwertanalyse
Risikoeinstufung
©2021 Privacy Xperts
©2022 Privacy Xperts
Risikoeinstufung
hohes Risiko
(normales) Risiko
niedriges Risiko
©2022 Privacy Xperts
Risikoeinstufung
Art. 35 Abs. 1 DSGVO
 „Hat eine Form der Verarbeitung […] voraussichtlich ein hohes Risiko für die Rechte
und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz
personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher
Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung
vorgenommen werden.“
©2022 Privacy Xperts
Risikoeinstufung
Checkliste DSFA
keine Ausnahme (Art. 35 Abs. 5, 10)?
Verarbeitung auf Positivliste
(Art. 35 Abs. 4)?
Regelbeispiel i.S.v. Art. 35 Abs. 3?
hohes Risiko gem. Leitlinien
der Art.-29-Gruppe (wp248)?
sonstiges hohes Risiko
i.S.v. Art. 35 Abs. 1?
©2022 Privacy Xperts
Risikoeinstufung
Ausnahme gem. Art. 35 Abs. 5 DSGVO?
 „Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von
Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine
Datenschutz-Folgenabschätzung erforderlich ist.“
 Bsp. Whitelist Österreich
• Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
• Personalverwaltung
• Mitgliederverwaltung
• Kundenbetreuung und Marketing für eigene Zwecke
• Sach- und Inventarverwaltung
• Register, Evidenzen, Bücher
• Zugriffsverwaltung für EDV-Systeme
• …
©2022 Privacy Xperts
Risikoeinstufung
Ausnahme gem. Art. 35 Abs. 10 DSGVO?
 „Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer
Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der
Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den
konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge
regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im
Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-
Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach
dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden
Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.“
©2022 Privacy Xperts
Risikoeinstufung
Bsp. Positivliste für den nicht-öffentlichen Bereich (DSK) gem. Art. 35 Abs. 4 DSGVO
 Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke
 große Anwaltssozietät / große Arztpraxis
 Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse
von Umgebungssensoren
 Fraud-Prevention-Systeme
 Scoring durch Auskunfteien, Banken oder Versicherungen
 Betrieb von Bewertungsportalen
 Inkassodienstleistungen – Factoring
 Geolokalisierung von Beschäftigten
 Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
 Kundensupport mittels künstlicher Intelligenz
 Telefongespräch-Auswertung mittels Algorithmen
 Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO
 Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
©2022 Privacy Xperts
Risikoeinstufung
Regelbeispiel i.S.v. Art. 35 Abs. 3 DSGVO
 systematische & umfassende Bewertung persönlicher Aspekte natürlicher
Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet
und die ihrerseits als Grundlage für Entscheidungen dient, die
Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in
ähnlich erheblicher Weise beeinträchtigen,
 umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen
Daten gem. Art 9, 10 DSGVO
 systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
©2022 Privacy Xperts
Risikoeinstufung
hohes Risiko i.S.d. Leitlinien der Art.-29-Gruppe (wp248)
 Evaluierung- oder Scoring-Maßnahmen
 automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den
Betroffenen (Profiling)
 systematische Beobachtung von Betroffenen
 Verarbeitung besonderer Kategorien personenbezogener Daten
 in großem Umfang verarbeitete personenbezogene Daten
 Abgleich bzw. Kombination versch. Datensätze
 personenbezogene Daten verletzlicher Datensubjekte
 Einsatz neuartiger Lösungen / Technologien
 Übermittlung personenbezogener Daten in Drittstaaten
 Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu
machen oder einen Dienst / Vertrag zu nutzen
©2022 Privacy Xperts
Risikoeinstufung
DSFA (+) DSFA (-)
Verarbeitung med. Daten durch
Krankenhaus
Verarbeitung med. Daten durch
Einzelarzt
Kameraüberwachung auf
Schnellstraßen
Abonnenten-Liste eines Online-
Magazins
system. Überwachung von
Beschäftigten durch Arbeitgeber
Profilbildung durch auf Website
eingebundene Werbeanzeigen
Profilbildung mit öffentl.
zugänglichen Daten aus sozialen
Netzwerken
Betrieb einer Bonitätsdatenbank
Beispiele
aus
wp248
der
Art.-29-Gruppe
©2022 Privacy Xperts
Risikoeinstufung
sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1 DSGVO
 insbesondere…
• bei Verwendung neuer Technologien (z.B. KI)
• aufgrund der Art, des Umfangs, der Umstände und der Zwecke der
Verarbeitung
Durchführung der DSFA
©2021 Privacy Xperts
©2022 Privacy Xperts
Durchführung der DSFA
 frühzeitige Hinzuziehung des DSB (Art. 35 Abs. 2 DSGVO)
 „Der Verantwortliche holt bei der Durchführung einer Datenschutz-
Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher
benannt wurde, ein.“
©2022 Privacy Xperts
Durchführung der DSFA
 Rückfragen bei Betroffenen (Art. 35 Abs. 9 DSGVO)
 „Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen
Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung
unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der
Sicherheit der Verarbeitungsvorgänge ein.“
©2022 Privacy Xperts
Durchführung der DSFA
 Mindest-Inhalt der DSFA (Art. 35 Abs. 7 DSGVO)
 systematische Beschreibung der geplanten Verarbeitungsvorgänge & der
Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten
berechtigten Interessen
 Bewertung der Notwendigkeit & Verhältnismäßigkeit der
Verarbeitungsvorgänge in Bezug auf den Zweck
 Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
 die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl.
Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der
Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO
eingehalten wird
©2022 Privacy Xperts
Durchführung der DSFA
 Checkliste
 Anlass der Durchführung der DSFA
 Zweck der Datenverarbeitung
 Rechtsgrundlage der Datenverarbeitung
 Beschreibung der Datenverarbeitung
 Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung
 Bewertung des Risikos der Datenverarbeitung für die betroffenen Personen
 Darstellung der geplanten Maßnahmen zur Abhilfe des Risikos
 Testbetrieb
 Change-Management
 Ergebnis
 Wiedervorlage
©2022 Privacy Xperts
Durchführung der DSFA
 PDCA-Zyklus (Art. 35 Abs. 11 DSGVO)
 „Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu
bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung
durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den
Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten
sind.“
©2022 Privacy Xperts
Durchführung der DSFA
 Konsultation der zust. Aufsichtsbehörde (Art. 36 Abs. 3 DSGVO)?
 ggf. Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der
gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten
Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer
Gruppe von Unternehmen
 die Zwecke und die Mittel der beabsichtigten Verarbeitung
 die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß
dieser Verordnung vorgesehenen Maßnahmen und Garantien
 ggf. die Kontaktdaten des DSB
 die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
 alle sonstigen von der Aufsichtsbehörde angeforderten Informationen
Praxistipps
©2021 Privacy Xperts
https://www.cnil.fr/en/privacy-
impact-assessment-pia
©2022 Privacy Xperts
Praxistipps
©2022 Privacy Xperts
Praxistipps
 Praxistipps / Hilfestellungen
 BayLDA: Durchführung einer DSFA gem. Art. 35 in Anlehnung an die ISO/IEC
29134
 Datenschutzzentrum: Durchführung einer DSFA gem.
Art. 35 mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“-
Verfahrens
 GMDS: Beispiel für eine DFSA gem. Art. 35 (Krankenhaus-Informationssystem)
 BayLfD: Beispiel DSFA Erforderlichkeitsprüfung / DSFA-Bericht
 Forum Privatheit: Whitepaper DSFA
 GDD: Praxishilfe XIV
 Fraunhofer Institut: Handbuch zur DSFA (kostenfrei)
 DSK: Kurzpapier Nr. 5
 Corona Warn App: Bericht zur DSFA
©2021 Privacy Xperts
Datenschutz-Folgenabschätzung (DSFA)
Ihr Referent:
Rechtsanwalt Michael Rohrlich
Vielen Dank für Ihre Aufmerksamkeit!
Gibt es noch
Fragen?
Wie sind Ihre
Erfahrungen beim
Umgang mit der
DSFA in der
Praxis?

Weitere ähnliche Inhalte

Was ist angesagt?

Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsMichael Rohrlich
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOMichael Rohrlich
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössäHarto Pönkä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetHarto Pönkä
 
Rumore e vibrazioni, di Veronica Gallo
Rumore e vibrazioni, di Veronica GalloRumore e vibrazioni, di Veronica Gallo
Rumore e vibrazioni, di Veronica GalloPrimariaLSantucci
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaHarto Pönkä
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
Direito das obrigações
Direito das obrigaçõesDireito das obrigações
Direito das obrigaçõesSuênya Mourão
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäHarto Pönkä
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
ATEX - rischio esplosione e misure di prevenzione
ATEX  - rischio esplosione e misure di prevenzioneATEX  - rischio esplosione e misure di prevenzione
ATEX - rischio esplosione e misure di prevenzioneCorrado Cigaina
 
Resumo Manuais de Obrigações - Responsabilidade Civil
Resumo Manuais de Obrigações - Responsabilidade CivilResumo Manuais de Obrigações - Responsabilidade Civil
Resumo Manuais de Obrigações - Responsabilidade CivilDiogo Morgado Rebelo
 
Código penal comentado slides - parte especial
Código penal comentado   slides - parte especialCódigo penal comentado   slides - parte especial
Código penal comentado slides - parte especialedgardrey
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Harto Pönkä
 
Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...
Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...
Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...Simone Chiarelli
 

Was ist angesagt? (20)

Contratos
ContratosContratos
Contratos
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVOWas tun bei einer Datenpanne? Das verlangt die DSGVO
Was tun bei einer Datenpanne? Das verlangt die DSGVO
 
Tietosuoja etätyössä
Tietosuoja etätyössäTietosuoja etätyössä
Tietosuoja etätyössä
 
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimuksetKäsittelytoimien luettelo ja tietosuojainformaation vaatimukset
Käsittelytoimien luettelo ja tietosuojainformaation vaatimukset
 
Civil - Doação
Civil - DoaçãoCivil - Doação
Civil - Doação
 
Rumore e vibrazioni, di Veronica Gallo
Rumore e vibrazioni, di Veronica GalloRumore e vibrazioni, di Veronica Gallo
Rumore e vibrazioni, di Veronica Gallo
 
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussaTietosuoja kunnan viestinnässä ja asiakaspalvelussa
Tietosuoja kunnan viestinnässä ja asiakaspalvelussa
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Direito das obrigações
Direito das obrigaçõesDireito das obrigações
Direito das obrigações
 
Tietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässäTietosuojavaatimukset markkinointiviestinnässä
Tietosuojavaatimukset markkinointiviestinnässä
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
Teoria Geral dos Recursos Processo Penal
Teoria Geral dos Recursos Processo Penal Teoria Geral dos Recursos Processo Penal
Teoria Geral dos Recursos Processo Penal
 
ATEX - rischio esplosione e misure di prevenzione
ATEX  - rischio esplosione e misure di prevenzioneATEX  - rischio esplosione e misure di prevenzione
ATEX - rischio esplosione e misure di prevenzione
 
Resumo Manuais de Obrigações - Responsabilidade Civil
Resumo Manuais de Obrigações - Responsabilidade CivilResumo Manuais de Obrigações - Responsabilidade Civil
Resumo Manuais de Obrigações - Responsabilidade Civil
 
Código penal comentado slides - parte especial
Código penal comentado   slides - parte especialCódigo penal comentado   slides - parte especial
Código penal comentado slides - parte especial
 
Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022Case: jauhojengi-kohu Twitterissä kesällä 2022
Case: jauhojengi-kohu Twitterissä kesällä 2022
 
Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...
Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...
Lezione n. 04 - Diritto amministrativo: La gestione del procedimento amminist...
 
D. lgs 81 08
D. lgs 81 08D. lgs 81 08
D. lgs 81 08
 

Ähnlich wie Datenschutz-Folgenabschätzung

Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenMichael Rohrlich
 
Infobrief 01 Datenschutz
Infobrief 01 DatenschutzInfobrief 01 Datenschutz
Infobrief 01 DatenschutzPatrick Nadler
 
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Bernd Fuhlert
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Andreas Klöcker
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
InformationssicherheitsmanagmentClaus Brell
 
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...&Data Training
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Alexander Talmon LL.M.
 

Ähnlich wie Datenschutz-Folgenabschätzung (10)

Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Cyber risk
Cyber riskCyber risk
Cyber risk
 
Infobrief 01 Datenschutz
Infobrief 01 DatenschutzInfobrief 01 Datenschutz
Infobrief 01 Datenschutz
 
Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013Datenschutz Schulung Bernd Fuhlert 2013
Datenschutz Schulung Bernd Fuhlert 2013
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
 
Informationssicherheitsmanagment
InformationssicherheitsmanagmentInformationssicherheitsmanagment
Informationssicherheitsmanagment
 
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
10 Fehler, die Datenschutzbeauftragten häufig passieren und wie sie vermieden...
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen  - Security und ComplianceIT auf Grossbaustellen  - Security und Compliance
IT auf Grossbaustellen - Security und Compliance
 
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...Datenschutz im  Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
Datenschutz im Medienrecht 2021 von Alexander Talmon LL.M. (Datenschutzbeauf...
 

Mehr von Michael Rohrlich

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtMichael Rohrlich
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisMichael Rohrlich
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Michael Rohrlich
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Michael Rohrlich
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenMichael Rohrlich
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufMichael Rohrlich
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...Michael Rohrlich
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumMichael Rohrlich
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtMichael Rohrlich
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenMichael Rohrlich
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungMichael Rohrlich
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichMichael Rohrlich
 

Mehr von Michael Rohrlich (20)

Grundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & DatenschutzrechtGrundlagen Computerstrafrecht & Datenschutzrecht
Grundlagen Computerstrafrecht & Datenschutzrecht
 
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen PraxisElektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
Elektronische Signatur: Die rechtssichere Anwendung in der täglichen Praxis
 
Impressum & Datenschutzerklärung
Impressum &  DatenschutzerklärungImpressum &  Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
Online-Shop: Das müssen Sie wissen über Vertragsschluss, AGB, Gewährleistung ...
 
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess aufOnlineshop: So bauen Sie einen korrekten Bestellprozess auf
Onlineshop: So bauen Sie einen korrekten Bestellprozess auf
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
 
Datenschutz Update Juli 2021
Datenschutz Update Juli 2021Datenschutz Update Juli 2021
Datenschutz Update Juli 2021
 
Datenschutz im Internet
Datenschutz im InternetDatenschutz im Internet
Datenschutz im Internet
 
E-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - VertragsfragenE-Commerce-Recht - Vertragsfragen
E-Commerce-Recht - Vertragsfragen
 
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess aufE-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
E-Commerce-Recht - So bauen Sie einen korrekten Bestellprozess auf
 
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
E-Commerce-Recht: So erstellen Sie Ihre Datenschutzerklärung, Cookies und Soc...
 
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes ImpressumE-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
E-Commerce-Recht: So gestalten Sie ein rechtskonformes Impressum
 
Social Media Recht
Social Media RechtSocial Media Recht
Social Media Recht
 
E-Commerce-Recht
E-Commerce-RechtE-Commerce-Recht
E-Commerce-Recht
 
Dokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im DatenschutzrechtDokumentationspflichten im Datenschutzrecht
Dokumentationspflichten im Datenschutzrecht
 
Datenschutz im internet
Datenschutz im internetDatenschutz im internet
Datenschutz im internet
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachtenDSGVO - Das müssen Sie bei Ihrer Website beachten
DSGVO - Das müssen Sie bei Ihrer Website beachten
 
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer WerbungE-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
E-Mail-Marketing: Rechtssicherer Versand elektronischer Werbung
 
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreichDer Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
 

Datenschutz-Folgenabschätzung

  • 2. ©2022 Privacy Xperts Datenschutz-Folgenabschätzung Ihr Referent: Rechtsanwalt Michael Rohrlich, Würselen – www.ra-rohrlich.de zugelassen als Rechtsanwalt seit 03/2003 Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 07/2012 TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 06/2012 geprüfter Datenschutz- auditor (Haufe) seit 02/2022 HR Data Protection Manager (Beck) seit 07/2021 Data Protection Risk Manager (FOM) seit 10/2021 Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010 Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019 Fachautor seit 1997 / Buchautor seit 2005 Dozent seit 1998
  • 3. Agenda: 1. Einführung 2. Schwellwertanalyse 3. Risikoeinstufung 4. Durchführung der DSFA 5. Praxistipps ©2022 Privacy Xperts Datenschutz-Folgenabschätzung
  • 6. ©2022 Privacy Xperts Einführung Art. 5 Abs. 1 lit. f) DSGVO  „Personenbezogene Daten müssen […] f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“)“
  • 7. ©2022 Privacy Xperts Einführung Art. 32 Abs. 1 DSGVO  „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“
  • 8. ©2022 Privacy Xperts Einführung Art. 32 Abs. 2 DSGVO  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“
  • 9. ©2022 Privacy Xperts Einführung Art. 32 Abs. 2 DSGVO  „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.“ Art. 4 Nr. 12 DSGVO  „‘Verletzung des Schutzes personenbezogener Daten‘ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
  • 10. ©2022 Privacy Xperts Einführung Art. 35 Abs. 1 DSGVO  „Hat eine Form der Verarbeitung, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Art. 35 Abs. 1 DSGVO  „[…] insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung […]“ hohes Risiko für die Betroffenen, nicht für den Verantwortlichen
  • 11. ©2022 Privacy Xperts Einführung Risikobewertung / Schwellwertanalyse Prüfung DSFA-Pflicht ggf. Durchführung der DSFA ggf. Konsultation der Aufsichtsbehörde ggf. weitere Schritte
  • 13. ©2022 Privacy Xperts Schwellwertanalyse Natur Hochwasser, Erdbeben, Feuer, Blitzschlag, etc. Menschen intern (Mitarbeiter…) absichtlich aus Versehen extern (Dienstleister…) absichtlich aus Versehen
  • 14. ©2022 Privacy Xperts Schwellwertanalyse Schutzobjekt: Vogel Schutzmaßnahme: Käfig Bedrohung: Katze Schwachstelle: Tür VKKT-Modell
  • 15. ©2022 Privacy Xperts Schwellwertanalyse Art. 32 Abs. 1 DSGVO  „Unter Berücksichtigung […] der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“ ErwGr. 76 DSGVO  „Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt.“
  • 16. ©2022 Privacy Xperts Schwellwertanalyse Eintritts- wahrschein- lichkeit einer Bedrohung Schwere der Auswirkung (Schadens- potential) Höhe des Risikos für Rechte & Freiheiten der Betroffenen
  • 17. ©2022 Privacy Xperts Schwellwertanalyse Vernachlässigbar Eingeschränkt Signifikant Maximal Vernachlässigbar 1 2 3 4 Eingeschränkt 2 4 6 8 Signifikant 3 6 9 12 Maximal 4 8 12 16 Legende: - grün: alles ok - gelb: ggf. handeln - rot: ASAP handeln!
  • 18. ©2022 Privacy Xperts Schwellwertanalyse Beispiel: Verlust des beruflichen Smartphones
  • 19.  ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [1/2]  Diskriminierung  Identitätsdiebstahl oder -betrug  finanzieller Verlust  Rufschädigung  Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten  unbefugte Aufhebung der Pseudonymisierung  sonst. erhebliche wirtschaftliche oder gesellschaftlichen Nachteile  unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen  grdsl. bei Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO)  Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)  Verarbeitung einer großen Menge von Daten  große Anzahl von Betroffenen ©2022 Privacy Xperts Schwellwertanalyse
  • 20.  ErwGr. 75 DSGVO – Abwägungskriterien / potentielle Risiken [2/2]  Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insbesondere von  Arbeitsleistung  wirtschaftliche Lage  Gesundheit  persönliche Vorlieben / Interessen  Zuverlässigkeit  Verhalten  Aufenthaltsort / Ortswechsel ©2022 Privacy Xperts Schwellwertanalyse
  • 21.  ErwGr. 85 DSGVO – potentielle Schäden  physischer, materieller oder immaterieller Schaden, z.B.  Verlust der Kontrolle eigener Daten  Einschränkung der Betroffenenrechte  Diskriminierung  Identitätsdiebstahl oder –betrug  finanzielle Verluste  unbefugte Aufhebung der Pseudonymisierung  Rufschädigung  Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten  andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile ©2022 Privacy Xperts Schwellwertanalyse
  • 23. ©2022 Privacy Xperts Risikoeinstufung hohes Risiko (normales) Risiko niedriges Risiko
  • 24. ©2022 Privacy Xperts Risikoeinstufung Art. 35 Abs. 1 DSGVO  „Hat eine Form der Verarbeitung […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“
  • 25. ©2022 Privacy Xperts Risikoeinstufung Checkliste DSFA keine Ausnahme (Art. 35 Abs. 5, 10)? Verarbeitung auf Positivliste (Art. 35 Abs. 4)? Regelbeispiel i.S.v. Art. 35 Abs. 3? hohes Risiko gem. Leitlinien der Art.-29-Gruppe (wp248)? sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1?
  • 26. ©2022 Privacy Xperts Risikoeinstufung Ausnahme gem. Art. 35 Abs. 5 DSGVO?  „Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.“  Bsp. Whitelist Österreich • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung • Personalverwaltung • Mitgliederverwaltung • Kundenbetreuung und Marketing für eigene Zwecke • Sach- und Inventarverwaltung • Register, Evidenzen, Bücher • Zugriffsverwaltung für EDV-Systeme • …
  • 27. ©2022 Privacy Xperts Risikoeinstufung Ausnahme gem. Art. 35 Abs. 10 DSGVO?  „Falls die Verarbeitung gemäß Artikel 6 Absatz 1 Buchstabe c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz- Folgenabschätzung erfolgte, gelten die Absätze 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.“
  • 28. ©2022 Privacy Xperts Risikoeinstufung Bsp. Positivliste für den nicht-öffentlichen Bereich (DSK) gem. Art. 35 Abs. 4 DSGVO  Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke  große Anwaltssozietät / große Arztpraxis  Fahrzeugdatenverarbeitung – Zentralisierte Verarbeitung der Messwerte oder Bilderzeugnisse von Umgebungssensoren  Fraud-Prevention-Systeme  Scoring durch Auskunfteien, Banken oder Versicherungen  Betrieb von Bewertungsportalen  Inkassodienstleistungen – Factoring  Geolokalisierung von Beschäftigten  Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden  Kundensupport mittels künstlicher Intelligenz  Telefongespräch-Auswertung mittels Algorithmen  Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DSGVO  Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
  • 29. ©2022 Privacy Xperts Risikoeinstufung Regelbeispiel i.S.v. Art. 35 Abs. 3 DSGVO  systematische & umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschl. Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,  umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art 9, 10 DSGVO  systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
  • 30. ©2022 Privacy Xperts Risikoeinstufung hohes Risiko i.S.d. Leitlinien der Art.-29-Gruppe (wp248)  Evaluierung- oder Scoring-Maßnahmen  automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)  systematische Beobachtung von Betroffenen  Verarbeitung besonderer Kategorien personenbezogener Daten  in großem Umfang verarbeitete personenbezogene Daten  Abgleich bzw. Kombination versch. Datensätze  personenbezogene Daten verletzlicher Datensubjekte  Einsatz neuartiger Lösungen / Technologien  Übermittlung personenbezogener Daten in Drittstaaten  Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst / Vertrag zu nutzen
  • 31. ©2022 Privacy Xperts Risikoeinstufung DSFA (+) DSFA (-) Verarbeitung med. Daten durch Krankenhaus Verarbeitung med. Daten durch Einzelarzt Kameraüberwachung auf Schnellstraßen Abonnenten-Liste eines Online- Magazins system. Überwachung von Beschäftigten durch Arbeitgeber Profilbildung durch auf Website eingebundene Werbeanzeigen Profilbildung mit öffentl. zugänglichen Daten aus sozialen Netzwerken Betrieb einer Bonitätsdatenbank Beispiele aus wp248 der Art.-29-Gruppe
  • 32. ©2022 Privacy Xperts Risikoeinstufung sonstiges hohes Risiko i.S.v. Art. 35 Abs. 1 DSGVO  insbesondere… • bei Verwendung neuer Technologien (z.B. KI) • aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
  • 34. ©2022 Privacy Xperts Durchführung der DSFA  frühzeitige Hinzuziehung des DSB (Art. 35 Abs. 2 DSGVO)  „Der Verantwortliche holt bei der Durchführung einer Datenschutz- Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.“
  • 35. ©2022 Privacy Xperts Durchführung der DSFA  Rückfragen bei Betroffenen (Art. 35 Abs. 9 DSGVO)  „Der Verantwortliche holt gegebenenfalls den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.“
  • 36. ©2022 Privacy Xperts Durchführung der DSFA  Mindest-Inhalt der DSFA (Art. 35 Abs. 7 DSGVO)  systematische Beschreibung der geplanten Verarbeitungsvorgänge & der Zwecke der Verarbeitung, ggf. einschl. der vom Verantwortlichen verfolgten berechtigten Interessen  Bewertung der Notwendigkeit & Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck  Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen  die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen & Verfahren, durch die der Schutz der Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird
  • 37. ©2022 Privacy Xperts Durchführung der DSFA  Checkliste  Anlass der Durchführung der DSFA  Zweck der Datenverarbeitung  Rechtsgrundlage der Datenverarbeitung  Beschreibung der Datenverarbeitung  Erforderlichkeit und Verhältnismäßigkeit der Datenverarbeitung  Bewertung des Risikos der Datenverarbeitung für die betroffenen Personen  Darstellung der geplanten Maßnahmen zur Abhilfe des Risikos  Testbetrieb  Change-Management  Ergebnis  Wiedervorlage
  • 38. ©2022 Privacy Xperts Durchführung der DSFA  PDCA-Zyklus (Art. 35 Abs. 11 DSGVO)  „Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.“
  • 39. ©2022 Privacy Xperts Durchführung der DSFA  Konsultation der zust. Aufsichtsbehörde (Art. 36 Abs. 3 DSGVO)?  ggf. Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen  die Zwecke und die Mittel der beabsichtigten Verarbeitung  die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien  ggf. die Kontaktdaten des DSB  die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO  alle sonstigen von der Aufsichtsbehörde angeforderten Informationen
  • 42. ©2022 Privacy Xperts Praxistipps  Praxistipps / Hilfestellungen  BayLDA: Durchführung einer DSFA gem. Art. 35 in Anlehnung an die ISO/IEC 29134  Datenschutzzentrum: Durchführung einer DSFA gem. Art. 35 mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“- Verfahrens  GMDS: Beispiel für eine DFSA gem. Art. 35 (Krankenhaus-Informationssystem)  BayLfD: Beispiel DSFA Erforderlichkeitsprüfung / DSFA-Bericht  Forum Privatheit: Whitepaper DSFA  GDD: Praxishilfe XIV  Fraunhofer Institut: Handbuch zur DSFA (kostenfrei)  DSK: Kurzpapier Nr. 5  Corona Warn App: Bericht zur DSFA
  • 43. ©2021 Privacy Xperts Datenschutz-Folgenabschätzung (DSFA) Ihr Referent: Rechtsanwalt Michael Rohrlich Vielen Dank für Ihre Aufmerksamkeit! Gibt es noch Fragen? Wie sind Ihre Erfahrungen beim Umgang mit der DSFA in der Praxis?