Zum Inhalt gehen
Unternehmensvorschriften & Gesetze

Datenschutzfolgeabschätzung für Unternehmen: Wer sie machen muss und wie sie abläuft

·
7 Minuten Lesezeit
Sie wollen ihre workflows optimieren?
Gesetzeskonform und up to date. Mit Factorial sind Sie auf der sicheren Seite. Sicherheit bei Factorial

Inhaltsangabe

Verfasst von

Die DSGVO regelt genau, was mit der Verarbeitung personenbezogener Daten passiert. Doch wie sieht es aus, wenn HR-Software im Unternehmen zum Einsatz kommt? Unternehmen, die solche Software verwenden, müssen in der Regel eine Datenschutzfolgeabschätzung (DSFA) durchführen. Wann genau dies notwendig ist und wie eine DSFA durchgeführt wird, erklären wir im folgenden Artikel.

Das Wichtigste in Kürze

  1. Eine Datenschutzfolgeabschätzung ist erforderlich, wenn bei einer Anwendung eine umfangreiche Verarbeitung besonderer Datenkategorien erfolgt, die potenziell ein hohes oder sehr hohes Risiko für die Grundrechte und Freiheiten der betroffenen Personen darstellt.
  2. Unternehmen, die HR-Software nutzen, die z. B. KI-basiertes Screening oder Geotracking umfasst, sind in der Regel verpflichtet, eine DSFA durchzuführen.

Gesetzliche Grundlage

  1. Notwendigkeit, Verfahren und Zuständigkeiten sind in Art. 35 der Datenschutz-Grundverordnung festgehalten.

Was ist eine Datenschutzfolgeabschätzung?

Eine Datenschutzfolgeabschätzung (DSF; manchmal auch Datenschutz-Folgenabschätzung oder Datenschutzfolgenabschätzung) ist ein Prozess, den Unternehmen durchführen müssen, wenn die Verarbeitung personenbezogener Daten ein hohes oder sehr hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.

Vor der Einführung einer Anwendung, die personenbezogene Daten verarbeitet, sind die Verantwortlichen daher verpflichtet, eine Datenschutzfolgeabschätzung durchzuführen. In diesem Verfahren werden die möglichen Risiken bewertet und geeignete Maßnahmen zur Minimierung erarbeitet. Ziel ist es, die Risiken zu erkennen, zu bewerten und so weit wie möglich zu reduzieren.

Wird im Rahmen der DSFA deutlich, dass die Risiken weder durch technische noch durch organisatorische Maßnahmen ausreichend gesenkt werden können, muss vor der Einführung eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde eingeholt werden.

Das Verfahren der Datenschutzfolgeabschätzung ist in Art. 35 DSGVO geregelt. Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die seit Mai 2018 den Schutz personenbezogener Daten und die Rechte von Betroffenen europaweit einheitlich regelt.

Ausführliche Informationen hierzu finden Sie auch in unserem Blogartikel zum Thema DSGVO & personenbezogene Daten.

Wann muss man eine Datenschutzfolgeabschätzung machen?

Eine DSFA ist immer dann erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Laut Art. 35 der Datenschutz-Grundverordnung ist dies insbesondere in folgenden Fällen gegeben:

  • bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche
  • bei der Verarbeitung besonders sensibler Daten, wie Gesundheitsdaten, biometrische Daten oder Daten zu strafrechtlichen Verurteilungen
  • bei einem umfangreichen Profiling, zum Beispiel durch Scoring-Verfahren

Welche Beispiele gibt es für Datenschutzfolgeabschätzungen?

Die oben genannten Fälle sind eher allgemein gehalten. Die einzelnen Datenschutzbehörden haben jedoch die Aufgabe, diese Vorgaben weiter zu konkretisieren, was in Deutschland Ländersache ist. Diese Konkretisierung erfolgt gemäß Art. 35 Abs. 4 DSGVO durch die jeweiligen Aufsichtsbehörden.

Beispiele für konkrete Fälle in Baden-Württemberg sind etwa:

  • Verarbeitung von Fahrzeugdaten bei Car-Sharing- oder Mobilitätsanbietern
  • Einsatz von RFID- oder NFC-Technologien durch Apps oder Karten

In diesen Fällen muss zwingend eine DSFA durchgeführt werden.

Eine Übersicht aller Listen von Verarbeitungsvorgängen der einzelnen Bundesländer finden Sie auch auf der Website von Keyed.

Vorgehensweise: Wie mache ich eine Datenschutzfolgeabschätzung?

Vorbereitungsphase

  1. Prüfen, ob eine DSFA erforderlich ist:
    Es muss zunächst festgestellt werden, ob die geplante Verarbeitung überhaupt ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellt. Orientierung bieten die Listen der Länderaufsichtsbehörden sowie die in der DSGVO beschriebenen Kriterien für ein hohes Risiko.
  2. Team zusammenstellen:
    Verantwortliche Personen wie Datenschutzbeauftragte, Betriebsrat und ggf. weiteren relevanten Bereichen sollten beteiligt werden.
  3. Definition der zu bewertenden Verarbeitungstätigkeiten:
    Es sollte genau festgelegt werden, welche Prozesse, Anwendungen oder Datenflüsse im Rahmen der DSFA analysiert werden sollen.

Bewertungsphase/Risikoanalyse

In dieser Phase werden die potenziellen Risiken der geplanten Datenverarbeitung genau bewertet und dokumentiert. Dazu gehört:

  • Beschreibung der Verarbeitung:
    Welche personenbezogenen Daten werden verarbeitet, zu welchem Zweck, wie lange und wo werden sie gespeichert, und wer hat Zugriff auf die Daten?
  • Prüfung von Notwendigkeit und Verhältnismäßigkeit:
    Ist die geplante Verarbeitung erforderlich, um den Zweck zu erreichen? Gibt es alternative Möglichkeiten, das gleiche Ziel zu erreichen, ohne personenbezogene Daten zu verwenden oder mit geringerem Risiko?
  • Identifikation potenzieller Risiken:
    Es werden alle möglichen Risiken für Betroffene identifiziert, z. B. Identitätsdiebstahl, Diskriminierung, finanzielle Verluste oder Rufschädigung.
  • Bewertung der Risiken nach Eintrittswahrscheinlichkeit und Schwere des Schadens:
    • Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass ein bestimmter Fall tatsächlich eintritt? Hierbei wird auch die Quelle des Risikos berücksichtigt (z. B. ein Angriff oder technische Fehler).
    • Schwere des Schadens: Wie gravierend wäre der Schaden für die betroffene Person, falls das Risiko eintritt? Schäden können physischer, materieller oder immaterieller Art sein.

Die Bewertung erfolgt in der Regel auf einer Skala wie „normal“, „hoch“ oder „sehr hoch“.

Maßnahmen- und Umsetzungsphase

In der letzten Phase werden auf Grundlage der identifizierten Risiken nun Maßnahmen entwickelt, um diese Risiken zu minimieren. Die Ergebnisse müssen dokumentiert werden, da eine Nachweispflicht besteht.

  • Für jedes Risiko sollten geeignete technische und organisatorische Maßnahmen (TOMs) definiert werden. Dies können zum Beispiel sein:
  • Verbleibt ein hohes Risiko, obwohl alle Maßnahmen umgesetzt wurden, muss vor der Einführung eine Genehmigung der zuständigen Aufsichtsbehörde eingeholt werden.
  • Die DSFA muss regelmäßig aktualisiert werden, insbesondere wenn sich Rahmenbedingungen ändern oder wesentliche Änderungen an der Technik, den Prozessen oder der Datenverarbeitung erfolgen.

Datenschutzfolgeabschätzung – Muster

Ein ausführliches Muster zum Download oder Online-Ausfüllen finden Sie auf der Website des Bundesbeauftragten für Datenschutz und Informationsfreiheit.

Wer führt die DSFA durch?

Datenschutzfolgenabschätzungen werden nicht vom Datenschutzbeauftragten durchgeführt, sondern die verantwortliche Person ist zuständig. Dies sind in der Regel die Geschäftsführung oder andere Führungskräfte.

Die Durchführung kann jedoch gemeinsam mit den jeweiligen Datenschutzbeauftragten und weiteren Mitarbeitenden erfolgen, um Fachwissen und praktische Erfahrungen einzubeziehen.

HR-Software und Datenschutz

Auch bei der Nutzung von HR-Software wie der von Factorial werden personenbezogene Daten verarbeitet. Beispielsweise bietet Factorial Funktionen wie KI-basiertes CV-Screening oder GPS-Tracking an.

Grundsätzlich sind daher die Unternehmen, die eine HR-Software nutzen, für die Erstellung einer DSFA zuständig – insbesondere, wenn die Verarbeitungstätigkeiten in der Länderliste aufgeführt sind oder eine der drei oben genannten Kriterien zutrifft (systematische und umfangreiche Verarbeitung, sensible Daten, umfangreiches Profiling).

Factorial selbst ist DSGVO-konform und stellt technische und organisatorische Maßnahmen bereit, die Unternehmen bei der Umsetzung ihrer Datenschutzpflichten unterstützen. Mehr über die Sicherheit bei Factorial erfahren Sie hier.


Julia Lehmann
Julia Lehmann ist Schriftstellerin, Philosophin, Künstlerin und Übersetzerin. Seit über drei Jahren setzt sie sich intensiv mit aktuellen Entwicklungen im Bereich Human Resources und der Arbeitswelt auseinander. Mit ihrem interdisziplinären Hintergrund analysiert sie Themen wie Unternehmenskultur, Führung, Wandel in der Arbeitsorganisation und rechtliche Rahmenbedingungen – und liefert dabei Impulse, die sowohl in Fachkreisen als auch in der unternehmerischen Praxis Anklang finden.

Ähnliche Beiträge