GDPR -Abschnitt Aktualisierungen: Datenschutzbewertungen (DPIA)

Demo buchen

schließen, oben, Bild, von, Frau, Hände, Tippen, auf, Laptop, Computer

Das Büro des Informationskommissars hat den Abschnitt in der DSGVO über Datenschutz-Folgenabschätzungen (DPIAs) aktualisiert und konzentriert sich dabei auf Risiko, Rechenschaftspflicht und Datenschutz durch Technikgestaltung. Artikel 35 Absatz 4 steht ebenfalls bis zum 13. April zur öffentlichen Konsultation.

Werfen wir einen kurzen Blick auf die Neuerungen

Datenschutz-Folgenabschätzungen und die DSGVO

Datenschutz-Folgenabschätzungen (DSFAs), deren Durchführung in einigen Fällen obligatorisch sein wird, sind eine neue Pflicht für Datenverarbeiter gemäß der Datenschutz-Grundverordnung.

Bei der Verarbeitung von Daten, die „wahrscheinlich ein hohes Risiko für die Interessen des Einzelnen darstellen“, muss eine DSFA durchgeführt werden, um den Grad des Risikos zu bestimmen. Wenn der Wert hoch ist, bittet das Büro des Informationskommissars Sie, sich direkt an ihn zu wenden.

Wenn Sie bereits Datenschutz-Folgenabschätzungen (PIAs) durchführen, müssen Sie den Prozess vor dem 25. Mai 2018 überprüfen, um sicherzustellen, dass er den DSGVO-Updates entspricht. Jede Organisation, die noch keine Datenschutz-Folgenabschätzungen durchführt, sollte sich die Zeit nehmen, DSFAs zu entwerfen und diese in ihre Prozesse einzubeziehen.

Was ist eine Datenschutz-Folgenabschätzung?

Diese Einschätzung, herbeigeführt durch die DSGVOist ein Prozess, der Ihnen dabei helfen soll, Risiken für den Schutz der von Ihnen und Ihrer Organisation verarbeiteten Daten zu erkennen und zu minimieren (aber nicht unbedingt zu beseitigen).

Laut ICO muss Ihre Datenschutz-Folgenabschätzung:

  • Beschreiben Sie die Verarbeitung und Ihre Zwecke
  • Beurteilen Sie Notwendigkeit und Verhältnismäßigkeit
  • Identifizieren und Risiken einschätzen an Einzelpersonen
  • Identifizieren Sie alle Maßnahmen zur Minderung dieser Risiken und Schützen Sie die Daten

Der Hauptzweck der Bewertung besteht darin, risikoreiche Daten zu schützen. Sie hilft Ihnen aber auch dabei, Ihr Engagement für die Informationssicherheit unter Beweis zu stellen und Vertrauen bei Einzelpersonen aufzubauen. Das Compliance-Risiko ist von großer Bedeutung, aber auch ein umfassenderes Risiko für die Rechte und Freiheiten (einschließlich sozialer oder wirtschaftlicher Benachteiligung) sollte bei der Datenschutz-Folgenabschätzung berücksichtigt werden. Dazu gehört das „Potenzial für Schäden – ob physisch, materiell oder immateriell – für Einzelpersonen oder die Gesellschaft insgesamt“.

Sehen Sie, wie einfach es mit ISMS.online ist
Buchen Sie Ihre Demo

Wann muss ich eine Datenschutz-Folgenabschätzung durchführen?

Wie bereits erwähnt, muss die DSFA vor Ihnen durchgeführt werden Prozessdaten, die ein hohes Risiko darstellen könnten. Dies ist die Höhe des Risikos einzuschätzen und Identifizieren Sie Faktoren, die sich auf Einzelpersonen auswirken könnten. Die DSGVO besagt, dass Sie eine DSFA durchführen sollten, wenn Sie:

  • systematisches und umfassendes Profiling mit erheblichen Auswirkungen verwenden;
  • in großem Umfang Daten zu Sonderkategorien oder Straftaten verarbeiten; oder
  • öffentlich zugängliche Orte systematisch und großräumig überwachen.
  • neue Technologien nutzen;
  • Profilerstellung oder Daten besonderer Kategorien verwenden, um über den Zugang zu Diensten zu entscheiden;
  • Personen im großen Maßstab profilieren;
  • biometrische Daten verarbeiten;
  • genetische Daten verarbeiten;
  • Daten abgleichen oder Datensätze aus verschiedenen Quellen kombinieren;
  • personenbezogene Daten von einer anderen Quelle als der Person sammeln, ohne dieser einen Datenschutzhinweis zu geben („unsichtbare Verarbeitung“);
  • den Standort oder das Verhalten von Personen verfolgen;
  • Kinder profilieren oder Dienstleistungen auf sie richten; oder
  • Daten verarbeiten, die im Falle einer Sicherheitsverletzung die körperliche Gesundheit oder Sicherheit der Person gefährden könnten.

So führen Sie eine Datenschutz-Folgenabschätzung durch

Das ICO hat einen umfassenden Leitfaden zur Planung Ihrer DPIA veröffentlicht, der hier in der Grafik dargestellt ist. Sie können den Prozess jedoch an Ihre Organisation anpassen. Denken Sie daran, dass dies zu einem der Kernprozesse Ihrer Organisation werden sollte und daher für Sie funktionieren muss. Es gibt auch europäische Richtlinien für die Planung von DSFAs, die Sie möglicherweise befolgen möchten.

Offene Konsultation zu Artikel 35 Absatz 4 DSGVO

Das Büro des Informationskommissars hat seinen Leitlinienentwurf für Datenschutz-Folgenabschätzungen zur öffentlichen Konsultation freigegeben. Lesen Sie die Details und sagen Sie uns Ihre Meinung die ICO-Website.

Sehen Sie, wie einfach es mit ISMS.online ist

Buchen Sie Ihre Demo

CTA-Bild

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren