Überprüfung der DSFA-Muss-Liste:
Zunächst bedarf es einer Klärung, ob die geplante Verarbeitungstätigkeit auf der sogenannten "Blacklist" oder “DSFA-Muss-Liste” steht. Ist dies der Fall, ist eine Datenschutz-Folgenabschätzung unverzüglich notwendig.
Durchführung einer Schwellwertanalyse:
Sollte die Verarbeitungstätigkeit nicht auf der Muss-Liste stehen, folgt die Schwellwertanalyse. In dieser Analyse werden neun spezifische Fragen beantwortet, die dabei helfen, potentielle Risiken für die Rechte und Freiheiten der betroffenen Personen zu identifizieren. Werden mindestens zwei dieser Fragen mit “Ja” beantwortet, ist eine Datenschutz-Folgenabschätzung unumgänglich.
Für detailliertes Praxiswissen zur Schwellwertanalyse empfehlen wir unseren Guide. Dieser führt dich Schritt für Schritt durch den Analyseprozess, damit du die Notwendigkeit einer Datenschutz-Folgenabaschätzung richtig einschätzen kannst.
Legitimer Zweck: dient die Verarbeitungstätigkeit legitimen Zwecken?
Geeignetheit: Überprüfe, ob diese Zwecke durch die Verarbeitung erreicht oder zumindest unterstützt werden
Erforderlichkeit (Notwendigkeit): Gibt es vielleicht mildere, aber ebenso effektive Wege, diese Zwecke zu erreichen?
Angemessenheit: Stelle sicher, dass die Verarbeitungstätigkeit bei einer Interessenabwägung aller Beteiligten – also sowohl der betroffenen Personen als auch der verarbeitenden Stelle – angemessen ist und nicht übermäßig in die Rechte der Betroffenen eingreift
Beschreibung des Risikos einschließlich des Ereignisses, der Quelle und des möglichen Schadens (ggf. auch als separate Spalten in deiner Tabelle);
Betrachtetes Gewährleistungsziel;
Eintrittswahrscheinlichkeit (Grad und Begründung);
Schadenshöhe (Grad und Begründung);
Risikoklasse (geringes / mittleres / hohes Risiko)
In der Praxis hat sich bei der Einteilung der Schweregrade in puncto Eintrittswahrscheinlichkeit eine Einteilung von Grad 1 bis 4 etabliert:
Grad 1 (geringfügig): Kann nach derzeitigem Wissensstand nicht eintreten.
Grad 2 (überschaubar): Kann erfahrungsgemäß eintreten, ist aber unwahrscheinlich.
Grad 3 (substanziell): Möglicher Schaden, Eintritt aber nicht sehr wahrscheinlich.
Grad 4 (hoch): Schaden ist erfahrungsgemäß möglich und tritt sehr wahrscheinlich ein.
Wie viele verschiedene Risikoquellen Schäden verursachen könnten;
Welche Erfahrungen dein Unternehmen diesbezüglich schon gemacht hat;
Wie wahrscheinlich Folgeschäden sind;
Ob Statistiken zur Wahrscheinlichkeit von Schadenseintritten existieren, und
Ob es bekannte Sicherheitslücken in den IT-Systemen gibt.
Informationspflicht gegenüber den betroffenen Personen
Auskunftsrecht
Recht auf Berichtigung
Recht auf Löschung (“Recht auf Vergessenwerden”)
Recht auf Einschränkung der Verarbeitung
Recht auf Datenübertragbarkeit
Widerspruchsrecht
Widerrufsrecht (Einwilligung)
Es sollte geprüft werden, ob die Dokumentation der Verarbeitungstätigkeit eine lückenlose Übersicht über die verarbeiteten personenbezogenen Daten, die Verarbeitungszwecke und die betroffenen Personengruppen enthält. Weiterhin muss die Rechtmäßigkeit der Verarbeitung im Hinblick auf die geltenden Datenschutzgesetze und -vorschriften sichergestellt sein.
Die Notwendigkeit und Angemessenheit der Verarbeitung in Bezug auf den Zweck wird bewertet, ebenso wie die Berücksichtigung möglicher Auswirkungen der Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen. Anschließend ist zu klären, ob angemessene Schutzmaßnahmen erforderlich sind und ob diese bereits implementiert wurden.
Es wird festgestellt, ob die Verarbeitung dem neuesten Stand der Technik entspricht, die Sicherheit der Daten gewährleistet und mit eventuellen externen Vorgaben, wie Branchenstandards oder -regulierungen, vereinbar ist.
Popularität des Tabellenprogramms:
Keine Einarbeitungszeit notwendig, da viele bereits Erfahrung mit Excel haben. Es ist möglich, damit sofort zu starten.
Kosteneffizienz:
Excel ist oft schon auf Büro-PCs vorinstalliert, daher entstehen keine extra Software-Kosten.
Anpassbarkeit:
Excel erlaubt flexible Anpassungen an Unternehmensbedürfnisse, inklusive Automatisierungen und spezifische Dropdown-Felder.
Keine Verknüpfungsmöglichkeit:
Es gestaltet sich schwierig, Verknüpfungen zwischen verschiedenen Tabellenblättern herzustellen, was doppelte Arbeit verursacht.
Hoher manueller Aufwand und Unordnung:
Dokumentationen in Excel sind fehleranfällig und schwer zu überblicken, besonders bei kleinteiliger Dateneingabe.
Fehlende Automatisierungsfunktionen:
Verzicht auf hilfreiche Automatisierungsfunktionen, wie automatische Benachrichtigungen bei vorgenommenen Änderungen.
Schwierige Gesamtauswertung:
Schwierigkeiten bei der Zusammenführung und Auswertung mehrerer DSFA, umfassende Überblicke sind mühsam zu erstellen.
Mangelnde Qualitätsüberwachung und Versionskontrolle:
Keine integrierte Qualitätssicherung oder einfach handzuhabende Nachverfolgung von Änderungen.
Datenschutzmanagement als Inselfunktion:
Erhöhte Komplexität erschwert die Einbindung anderer Abteilungen zur Zuarbeit an einer DSFA.
Link kopieren