Seien Sie konform

Eine Organisation muss nicht nur personenbezogene Daten gemäß der Datenschutz-Grundverordnung verarbeiten, sondern muss auch in der Lage sein, ihre Einhaltung nachzuweisen. Dazu gehört die Umsetzung des Datenschutzes durch Design, die Führung einer Aufzeichnung der Verarbeitungstätigkeiten und unter bestimmten Umständen die Durchführung einer Datenschutz-Folgenabschätzung.

Datenschutz durch Design und standardmäßiger Datenschutz

Als Verantwortlicher müssen Sie sowohl bei der Gestaltung eines Verarbeitungsvorgangs als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Sie müssen außerdem sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für jeden bestimmten Zweck erforderlich sind (dies gilt für die Datenmenge, den Umfang der Verarbeitung, die Speicherbeschränkung und deren Zugänglichkeit).

Mit anderen Worten, eine Organisation, die Datenschutz durch Design und Standard anwendet, ist eine Organisation, die den Datenschutz und die Privatsphäre von Einzelpersonen in jeder Hinsicht und in jeder Phase ihrer Verarbeitungsvorgänge, in die verwendeten Tools oder jede andere Geschäftstätigkeit berücksichtigt und einbettet.

Um dies zu tun, muss Ihre Organisation vor der Einrichtung von Verarbeitungsvorgängen Folgendes berücksichtigen:

  • Art, Kontext und Umfang des geplanten Verarbeitungsvorgangs;
  • die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben können, die sich auf personenbezogene Daten auswirken können;
  • die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei sicherzustellen, dass die personenbezogenen Daten von Personen angemessen geschützt werden;
  • die technischen und organisatorischen Maßnahmen oder Verfahren, die zu treffen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten (insbesondere die Erhebung, Speicherung und Gesamtnutzung der Daten natürlicher Personen) auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt ist.

In der Praxis

  • Eine Buchhandlung möchte ihren Umsatz steigern, indem sie Bücher online verkauft. Der Buchhandlungsinhaber möchte ein standardisiertes Formular für den Bestellprozess einrichten. In erster Linie macht der Eigentümer alle Felder im Formular obligatorisch, einschließlich des Geburtsdatums, der Telefonnummer und der Anschrift des Kunden. Allerdings sind nicht alle Felder in der Form notwendig, um die Bücher zu verkaufen und zu liefern.
    Zum Beispiel kann der Kunde bei der Bestellung eines eBooks das Produkt direkt auf sein Gerät herunterladen. Als solche können diese Felder im Webformular nicht benötigt werden, um Bücher zu bestellen. Der Webshop-Inhaber beschließt daher, zwei Webformulare zu erstellen: eine für die Bestellung von Büchern, mit einem Feld für die Adresse des Kunden und einem Webformular für die Bestellung von eBooks ohne Feld für die Adresse des Kunden. Dabei sorgt der Eigentümer dafür, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.
  • Eine Arztpraxis, die mehrere Ärzte beschäftigt, sammelt Daten über ihre Patienten in ihrem Organisationsinformationssystem. Die verschiedenen Ärzte müssen möglicherweise auf Patientenakten zugreifen, zum Beispiel, wenn sie für einen anderen abwesenden Arzt übernehmen, um ihre Entscheidungen in Bezug auf die Versorgung und Behandlung der Patienten zu informieren, und für die Dokumentation aller Diagnostik-, Pflege- und Behandlungsmaßnahmen. Der Zugang wird standardmäßig nur den Ärzten gewährt, die der Behandlung des jeweiligen Patienten zugeordnet sind.

Es ist nützlich, Aufzeichnungen über diese Bewertungen und Maßnahmen zu führen, um nachzuweisen, dass Sie die Grundsätze des Datenschutzes per Design und standardmäßig einhalten. Ein zugelassener Zertifizierungsmechanismus kann auch als Element verwendet werden, um die Einhaltung des Datenschutzes durch Design und standardmäßig nachzuweisen.

Link
Art. 25 DSGVO

EUR-Lex

Link
Leitlinien zu Artikel 25 Datenschutz durch Design und Standard

EDPB

Verpflichtung zur Führung von Aufzeichnungen über die Datenverarbeitung

Als Organisation sind Sie verpflichtet, Ihre Datenverarbeitungsaktivitäten aufzuzeichnen. Diese Aufzeichnungen sollten schriftlich, auch in elektronischer Form, aufbewahrt werden.

Dieser Datensatz gibt Ihnen einen Überblick über Ihre Verarbeitungsaktivitäten. Um einen solchen Datensatz zu erstellen, sollten Sie feststellen, welche Ihrer Tätigkeiten die Verarbeitung personenbezogener Daten erfordern (Beispiele sind Personalgewinnung, Lohnabrechnungsmanagement, Schulungen, Ausweis- und Zugangsmanagement, Liste der potenziellen Kunden usw.). Jeder dieser Verarbeitungsvorgänge muss im Datensatz mit folgenden Angaben beschrieben werden:

  • Zweck der Verarbeitung (z. B. Kundenbindung);
  • die Kategorien der verarbeiteten Daten (z. B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
  • wer Zugriff auf die Daten hat (die Empfänger – z. B.: die für die Personalgewinnung zuständige Abteilung, den IT-Dienst, das Management, die Dienstleister, die Partner...);
  • gegebenenfalls Informationen über die Übermittlung personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums (EWR);
  • nach Möglichkeit die Speicherdauer (der Zeitraum, für den die Daten aus betrieblicher Sicht nützlich sind, und aus Sicht der Archivierung);
  • wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Die Aufzeichnung der Verarbeitungstätigkeiten fällt in die Verantwortung des Managers Ihrer Organisation. Dieser Datensatz muss der Datenschutzbehörde des EWR-Landes, in dem Sie tätig sind, auf Anfrage zur Verfügung stehen.

Es ist nicht erforderlich, dass Organisationen, die weniger als 250 Personen beschäftigen, in ihren Aufzeichnungen rein gelegentliche Tätigkeiten erwähnen (z. B. Daten, die für einmalige Veranstaltungen wie die Eröffnung eines Shops verarbeitet werden).

Link
Art. 30 DSGVO

EUR-Lex

Link
Art. 30.5 DSGVO

EUR-Lex

Link
Artikel 29-Datenschutzgruppe: Positionspapier zu den Ausnahmen von der Verpflichtung zur Führung von Aufzeichnungen über Verarbeitungstätigkeiten (vom EDSA gebilligt)

Newsroom der Europäischen Kommission

Wie kann man eine Datenschutz-Folgenabschätzung (DSFA) durchführen?

Was ist eine DSFA?

Wenn eine Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Es hilft Ihnen, geeignete Sicherheitsvorkehrungen zu identifizieren, um die Risiken zu mindern und die Einhaltung der Vorschriften nachzuweisen.

 

Wann sollte man eine DSFA machen?

Während es immer vorzuziehen ist, die Auswirkungen geplanter Verarbeitungsvorgänge Ihrer Organisation durch eine DSFA zu antizipieren, ist es obligatorisch, eine solche DSFA durchzuführen, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führt.

Dies ist insbesondere dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

  • die – in großem Umfang – Verarbeitung sensibler personenbezogener Daten und Daten im Zusammenhang mit strafrechtlichen Verurteilungen;
  • eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person auf der Grundlage einer automatisierten Verarbeitung, einschließlich Profiling, und auf denen Entscheidungen beruhen, die Rechtswirkungen auf die betreffende Person entfalten oder Personen in ähnlicher Weise erheblich beeinträchtigen;
  • systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab.

In den meisten Fällen sollten Verarbeitungsvorgänge, die zwei der folgenden Kriterien erfüllen, im Rahmen einer DSFA bewertet werden:

  1. Bewertung oder Bewertung;
  2. automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung;
  3. systematische Überwachung;
  4. sensible Daten oder Daten höchstpersönlicher Art;
  5. in großem Umfang verarbeitete Daten:
  6. Abgleich oder Kombinieren von Datensätzen;
  7. Daten über gefährdete betroffene Personen;
  8. innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen;
  9. Wenn die Verarbeitung an sich Einzelpersonen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Muss ich eine DSFA durchführen?

Beantworten Sie die Fragen unseres interaktiven Flussdiagramms, um es herauszufinden!

Wird die Verarbeitung wahrscheinlich zu hohen Risiken führen?

Gelten Ausnahmen?

Beispiele, wenn eine DSFA möglicherweise nicht erforderlich ist:

  • der geplante Verarbeitungsvorgang einer Verarbeitung, die Gegenstand einer DSFA war, sehr ähnlich ist;
  • die Art der Verarbeitung befindet sich in einer Ausnahmeliste, die Ihre Datenschutzbehörde möglicherweise angenommen hat;
  • die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Muss ich eine DSAF durchführen?

Ja, Sie müssen die DSFA durchführen

Gibt es nach der DSFA noch hohe Risiken?

Muss ich eine DSAF durchführen?

Keine DSFA erforderlich

Wenden Sie sich an Ihre Datenschutzbehörde

Keine Notwendigkeit, Ihre Datenschutzbehörde zu konsultieren

Top DSFA Tipp

Sie sollten sich an die Datenschutzbehörde des EWR-Landes wenden, in dem Ihre Organisation ihren Sitz hat, um herauszufinden, ob sie über ein öffentlich zugängliches Dokument verfügt, in dem die Bedingungen aufgeführt sind, für die Verarbeitungsvorgänge eine DSFA benötigen und für welche Verarbeitungsvorgänge keine DSFA erforderlich ist.

 

Beispiele, wann eine DSFA erforderlich sein kann:

  • Verarbeitung biometrischer Daten, z. B. das Scannen von Fingerabdrücken oder Gesichtszügen zur Identifizierung von Patienten;
  • Nutzung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. um ihre Einkäufe vorherzusagen;
  • mobile App, die den Standort der Person verfolgt.

 

Beispiele, wenn eine DSFA möglicherweise nicht erforderlich ist

  • der geplante Verarbeitungsvorgang einer Verarbeitung, die Gegenstand einer DSFA war, sehr ähnlich ist;
  • die Verarbeitung ist in die fakultative Liste der Verarbeitungsvorgänge aufgenommen (die von Ihrer nationalen Datenschutzbehörde erstellt wurden), die keiner DSFA unterliegen;
  • die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was ist in einer DSFA zu berücksichtigen?

Ihre DSFA sollte Folgendes umfassen:

  • eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
  • eine Notwendigkeits- und Verhältnismäßigkeitsprüfung; 
  • die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
  • Maßnahmen zur Bewältigung der Risiken.

 

Vorherige Konsultation während einer DSFA

Wenn der für die Verarbeitung Verantwortliche keine ausreichenden Maßnahmen finden kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der für die Verarbeitung Verantwortliche folgende Angaben machen:

  • die jeweiligen Verantwortlichkeiten des Verantwortlichen, der gemeinsamen Verantwortlichen und der Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
  • den Zweck des Verarbeitungsvorgangs und die Art und Weise, wie der Verarbeitungsvorgang durchgeführt wird;
  • die Maßnahmen, die zum Schutz personenbezogener Daten von Einzelpersonen vorgesehen sind;
  • die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
  • die betreffende DPIA.

 

Nach einer DSFA – Testen, verbessern, überprüfen!

Sobald Ihre DSFA erstellt wurde, müssen Sie sie testen; erforderlichenfalls zu verbessern; führen Sie Ihren Verarbeitungsvorgang durch; überprüft erneut, ob Ihre DSFA mit dem Verarbeitungsvorgang übereinstimmt; und Kontrollcheck.    

Link
Art. 35 DSGVO

EUR-Lex

Link
Art. 36 DSGVO

EUR-Lex

Link
Artikel 29-Datenschutzgruppe: Leitlinien zur Datenschutz-Folgenabschätzung (DPIA)

Newsroom der Europäischen Kommission

Link
Datenschutz Folgenabschätzungen Leitfaden

Arc-Projekt

Link
Nationale Listen der Arten von Datenverarbeitungsvorgängen, die eine Datenschutzverträglichkeitsprüfung erfordern oder nicht

Datenschutzkommission, irische Aufsichtsbehörde

Verhaltenskodizes

Je nachdem, wo sich Ihre Organisation im EWR befindet, kann es Verbände oder andere Stellen geben, die die für die Verarbeitung Verantwortlichen oder Auftragsverarbeiter vertreten. Diese Verbände und Einrichtungen können Verhaltenskodizes, einschließlich Datenschutzmechanismen, ausarbeiten, an die sich die für die Verarbeitung Verantwortlichen und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten von Einzelpersonen gemäß der DSGVO eingehalten werden.

Insbesondere sollen diese eingeführten Verhaltenskodizes u. a. Folgendes gewährleisten:

  • dass personenbezogene Daten fair und transparent verarbeitet werden;
  • dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
  • wie man personenbezogene Daten pseudonymisiert;
  • diese transparenten Informationen an Personen weitergegeben werden, deren personenbezogene Daten verarbeitet werden;
  • dass die Einwilligung in die Verarbeitung von Daten natürlicher Personen, insbesondere personenbezogener Daten im Zusammenhang mit Kindern, angemessen eingeholt wird;
  • alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten natürlicher Personen zu gewährleisten;
  • dass Verfahren zur Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
  • dass Verfahren, einschließlich Garantien, im Zusammenhang mit der Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen befolgt werden;
  • diese Verfahren im Zusammenhang mit Gerichtsverfahren und Streitbeilegungen werden befolgt.

Top-Tipp

  • Sie sollten sich mit dem zuständigen Verband oder der zuständigen Stelle in Verbindung setzen, die DSGVO-Verhaltenskodizes vorbereitet, da diese Ihnen bei der Einhaltung der DSGVO helfen können.

Zertifizierung

Was ist eine DSGVO-Zertifizierung?

Eine Organisation, die eine DSGVO-Zertifizierung erhält, kann diese Zertifizierung nutzen, um die Einhaltung ihrer Verarbeitungsvorgänge mit der DSGVO nachzuweisen.

Die Datenschutzbehörden des EWR können z. B.:

  • Erteilung von DSGVO-Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem;
  • die DSGVO-Zertifizierungen selbst in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsverfahrens an Dritte delegieren;
  • ein eigenes Zertifizierungssystem zu schaffen und spezifische Stellen mit der Ausstellung dieser Zertifizierungen zu betrauen;
  • den Markt zu ermutigen, Zertifizierungsmechanismen zu entwickeln;
  • Bewertung der Zertifizierungssysteme der Zertifizierungsstellen.

Eine Zertifizierungsstelle hat die Aufgabe, Zertifizierungen auf der Grundlage eines Zertifizierungsmechanismus und genehmigter Kriterien auszustellen, zu überprüfen und zurückzuziehen.

Zertifizierungsstellen müssen ihre Bewertung der Verarbeitungsvorgänge Ihrer Organisation dokumentieren, für die eine DSGVO-Zertifizierung ausgestellt werden kann.

 

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, was kommt als nächstes?

Die DSGVO-Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist für maximal drei Jahre gültig, kann aber verlängert oder widerrufen werden. Um diese Zertifizierung zu erhalten, muss Ihr Unternehmen die Maßnahmen rund um den zertifizierten Datenschutzbetrieb kontinuierlich und konsequent in die Praxis umsetzen.

Link
Art. 42 DSGVO

EUR-Lex

Link
Art. 43 DSGVO

EUR-Lex

Link
Leitlinien für die Zertifizierung und Identifizierung von Zertifizierungskriterien gemäß den Artikeln 42 und 43 der Verordnung

EDSA