Für einige Organisationen steht die DSFA ganz oben auf der Liste der mit der DSGVO verbundenen Aufgaben, die abgearbeitet werden müssen. Für viele kann die DSFA jedoch tatsächlich warten - oder zumindest vereinfacht werden, so dass sie nicht so viele Ressourcen benötigen. Die Geschäftsleitung erklärt, wann und wie Sie eine DSFA durchführen sollten.
Die DSGVO konzentriert sich auf den Schutz der Privatsphäre einer natürlichen Person und nicht auf die Organisationen, die personenbezogene Daten erheben, verarbeiten und speichern. Um sicherzustellen, dass so wenig wie möglich personenbezogene Daten verarbeitet werden, fordert die DSGVO von den Organisationen die Durchführung einer sogenannten Datenschutz-Folgenabschätzung (DSFA).
Die DSFA sollte eine Analyse der möglichen Konsequenzen für die betroffenen Personen darstellen, wenn die Prozesse oder Systeme eines Unternehmens personenbezogene Daten enthalten. Zum Beispiel: Welche Konsequenzen könnten für eine Person entstehen, wenn eine private Organisation Videokameras installiert hat, die auch öffentliche Bereiche überwachen? Kann diese Konsequenz akzeptiert werden, oder sollte diese Aktivität gestoppt werden?
Jakob Holm Hansen, CEO, erklärt, wie wichtig es ist, zu verstehen, was das Wort "Konsequenz" im täglichen Betrieb einer Organisation wirklich bedeutet.
"Im Sinne der DSGVO kann eine Konsequenz unterschiedliche Bedeutungen haben. Sie betrifft alle Situationen, in denen die Verarbeitung von personenbezogenen Daten durch eine Organisation, der betroffenen Person die Möglichkeit zur Ausübung Ihrer grundlegenden Rechte einschränkt oder diese sogar gefährdet", erklärt Jakob Holm Hansen.
Dies könnte beispielsweise bedeuten, dass personenbezogene Daten online veröffentlicht werden, dass Menschenrechte verletzt werden, dass neue Technologien wie die Gesichtserkennung eingeführt werden oder ein automatischer Entscheidungsprozess wie eine systematische Bonitätsbeurteilung durchgeführt wird.
Jede Organisation muss beurteilen, in welchem Umfang die Verarbeitung personenbezogener Daten die Privatsphäre eines Einzelnen gefährden kann. Wenn dies nicht der Fall ist, empfiehlt Jakob Holm Hansen, die DSFA auf Eis zu legen.
"Tatsächlich muss nur eine geringe Anzahl von Organisationen eine DSFA durchführen. Wenn die Verarbeitung von sensiblen personenbezogenen Daten kein wesentlicher Bestandteil in Ihrer Organisation ist, empfehlen wir, zumindest nicht zu Beginn eine DSFA durchzuführen. Dies ist darauf zurückzuführen, dass die DSFAs in erster Linie für Organisationen bestimmt sind, in denen die Verarbeitung personenbezogener Daten im großen Maßstab im Mittelpunkt steht."
Wenn Sie eine DSFA machen wollen, ermutigt Jakob Holm Hansen Organisationen, eine vereinfachte Form der DSFA durchzuführen. Es gibt keine formellen Anforderungen an eine DSFA in der DSGVO. Es gibt eine grundlegende Checkliste in den EU-Richtlinien, auf die Sie verweisen können, aber der eigentliche Prozess liegt letztendlich bei Ihnen.
"Um die Arbeitsbelastung zu minimieren, ist es auch möglich, Datenschutz-Folgenabschätzungen mehrfach zu nutzen. Organisationen, die die gleichen Datenverarbeitungsprozesse haben, müssen keine individuellen DSFAs durchführen, sondern können die gleichen Analyseergebnisse unternehmensweit verwenden ", erklärt Jakob Holm Hansen.
Die DSGVO und die Datenschutzaufsichtsbehörden, die die Verordnung durchsetzen werden, betonen die Verhältnismäßigkeit bei der Bewertung der Bemühungen einer Organisation zur Einhaltung der DSGVO. Wenn Sie in der Regel ein sinnvolles Compliance-Programm und angemessene Sicherheitsmaßnahmen hinsichtlich der Art und der Menge der Datenverarbeitungsprozesse haben, dann ist nicht das Ergebnis einer DSFA der ausschlaggebende Faktor für den Fall eines Sicherheitsvorfalls.
"Unser allgemeiner Rat für Organisationen, die eine DSFA durchführen müssen, ist, mit einer vereinfachten Form zu beginnen, die den grundlegenden Anforderungen der EU-Checkliste entspricht. Dann können Sie diese zu einem späteren Zeitpunkt immer noch weiter ausbauen, vorausgesetzt Sie haben erst einmal alle anderen verpflichtenden DSGVO-Maßnahmen an Ort und Stelle eingerichtet", sagt Jakob Holm Hansen.