Warum müssen technische Lösungen und Abläufe aus Sicht Datenschutz überhaupt bewertet und dokumentiert werden?
Jeder Verantwortliche ist im Sinne der Datenschutz Grundverordnung Art. 5 (2) verpflichtet, seiner Rechenschaftspflicht nachzukommen, in dem ein schriftlicher Nachweis geliefert wird, was getan wurde, um ein Risiko für betroffene Personen zu reduzieren, dass bei der Erhebung und Verarbeitung von personenbezogenen Daten entstehen kann. Vorhandene bereits eingesetzte Lösungen, die bislang nicht bewertet wurden, sollten zeitnah bewertet werden. Alle Abläufe sind nach Art. 30 DSGVO in den Verfahrensverzeichnissen dem Datenschutzbeauftragten vorzulegen. Nicht vorhandene Bewertungen können als Nicht-Organisation im Sinne von Art. 83 der Datenschutz Grundverordnung (Bußgeld) ausgelegt werden.
Mandanten haben sich verpflichtet, den Datenschutzbeauftragten in die relevanten Abläufe einzubinden.
Wir liefern auf Anforderung die Dokumentationen in unterschiedlichem Umfang:
Kurze Stellungnahme
Mandanten fragen bei uns immer wieder an, ob neue technische Lösungen aus Sicht Datenschutz zulässig sind oder nicht. Nicht alle Mandanten wollen und benötigen immer eine umfassende Bewertung vom Datenschutz Büro. Hierzu haben wir die so genannte kurze Stellungnahme eingeführt. Hier erhalten die Mandanten im Rahmen von einer schriftlichen Nachricht eine erste Einschätzung, ob die Lösung Aussicht Datenschutz einsetzbar ist oder nicht. Diese Einschätzung ist für die Mandanten kostenfrei, die Erstellung erfolgt meistens innerhalb von 2-3 Werktagen nach Eingang der Anfrage.
DSK – Datenschutz-Kurzpapier
Wurde bereits eine Vorauswahl getroffen, für eine neue geplante technische Lösung, oder Änderung einer vorhandenen technischen Lösung, dann hilft das so genannte Datenschutz-Kurzpapier. Hier erhalten die Mandanten auf ca. 5-10 DIN-A4 Seiten je Lösung / Prozess eine ausführlichere Betrachtung der datenschutzrechtlichen Bewertung, und klare Handlungsanweisungen, was zu tun ist, bevor die geplante Lösung beauftragt oder umgesetzt werden soll. Hier fällt ein Aufwand von ungefähr 2-3 Stunden Arbeitszeit an.
Datenschutz Bewertung
Spätestens wenn besonders schützenswerte Daten im Sinne des Art. 9 der Datenschutz Grundverordnung (zum Beispiel Gesundheitsdaten, Patientendaten) verarbeitet werden sollen, empfehlen wir die umfängliche Datenschutz Bewertung. Die Bewertung hat üblicherweise einen Umfang zwischen 10-30 Seiten pro Lösung, hier fällt ein Aufwand von ungefähr 2-3 Tagen kumulierter Arbeitszeit an.
DSFA – Datenschutz-Folgeabschätzung nach Art. 35 der Datenschutz Grundverordnung
Werden personenbezogene Daten oder besonders schützenswerte Daten dazu genutzt, Profil-Daten über die Betroffenen zu erzeugen, oder ein hohes Risiko bei Datenverlust für die betroffenen Personen entstehen kann (zum Beispiel im medizinischen Umfeld), dann ist gesetzlich vorgeschrieben, eine Datenschutz Folgeabschätzung zu erstellen. Diese ist sehr aufwendig, da sämtliche Risiken im Interview mit den Ansprechpartnern evaluiert werden müssen, Lösungsansätze diskutiert werden zur Mitigation des Risikos für die Rechte und Freiheiten der betroffenen Personen, und schlußendlich dokumentiert werden in der Folgeabschätzung. Es verbleibt ein Restrisiko, dass das Management akzeptieren muss zur Freigabe der geplanten Lösung (oder ablehnen). Eine Datenschutz Folgeabschätzung erweitert die Datenschutz Bewertung und bedeutet zusätzliche 2-3 Tage Aufwand.