Datenschutz-Folgenabschätzung

Die DSGVO (Art 35 DSGVO) sieht für Unternehmen uU die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung vor. Einerseits legt die Datenschutzbehörde eine Liste von Verarbeitungsvorgängen fest, für die eine Datenschutz-Folgenabschätzung verpflichtend durchgeführt werden muss. Anderseits muss das Unternehmen im Einzelfall selbst beurteilen, welche, der von ihm betriebenen Datenverarbeitungen voraussichtlich ein hohes Risiko für die Betroffenen beinhalten könnten.

Unsere Dienstleistungen

Im Einzelnen beraten und unterrichten wir die Verantwortlichen bei der Entscheidung zur Durchführung einer Datenschutz-Folgenabschätzung in nachfolgenden Punkten:

  • Inventarisierung und Klassifizierung der Verarbeitungsvorgänge im Unternehmen, siehe dazu Verzeichnis der Verarbeitungstätigkeiten.
  • Bestimmung des Verantwortlichen und Auftragsverarbeiter, gegebenenfalls des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten.
  • Prüfung der Pflicht zur Durchführung einer datenschutzrechtlichen Folgenabschätzung.
  • Empfehlung zur Methodik der Risikoanalyse bei der Durchführung einer Folgenabschätzung bei Verarbeitungsvorgängen.
  • Unterrichtung zur Festlegung von Maßnahmen, Garantien und Verfahren zur Risikominderung und Sicherstellung des Datenschutzes.
  • Überwachung bei der Durchführung der Datenschutz-Folgenabschätzung.
  • Beratung bei der gegebenenfalls erforderlichen Konsultation der Aufsichtsbehörde.
  • Schulung von verantwortlichen Mitarbeiterinnen und Mitarbeitern.

Ihr Nutzen

Ergebnis der Beratungstätigkeit ist ein schriftlicher Bericht, welcher dem Verantwortlichen entscheidungsrelevante Informationen und Empfehlungen zur Verpflichtung bzgl Durchführung der Folgenabschätzung und gegebenenfalls zur Planung und Umsetzung des erforderlichen Geschäftsprozesses liefert.

Die Durchführung und Umsetzung einer rechtskonformen Datenschutz-Folgenabschätzung mindern gegebenenfalls die Rechtsfolgen, zB die Bemessung der Geldbuße im Zusammenhang mit möglichen Sanktionen bei Datenschutzverletzungen.

Der Zeitaufwand für die Erstellung des Berichts zur Datenschutz-Folgenabschätzung ist ua abhängig vom Zweck, Umstand und Umfang der personenbezogenen Verarbeitungstätigkeiten sowie der Art der verarbeiteten Datenkategorien im Unternehmen.

Sanktionen

Bei Verstößen gegen die Bestimmungen zur Datenschutz-Folgenabschätzung drohen dem Verantwortlichen im Einzelfall eine Geldbuße in der Höhe von bis zu 10 Mio Euro oder 2 % des gesamtem weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Die Sanktionsbestimmungen der DSGVO richten sich grundsätzlich gegen den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter, also gegen das Unternehmen selbst.