Risikobewertung (Dokumentation im Verarbeitungsverzeichnis)
Die Besonderheit einer datenschutzrechtlichen Risikobeurteilung nach DSGVO liegt in der Ausrichtung auf die betroffene Person. So nennt z.B. Erwägungsgrund 75 einzelne Datenschutzrisiken aus Sicht des Betroffenen, insbesondere:
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- finanzieller Verlust
- Rufschädigung
- Verlust der Vertraulichkeit oder Kontrollmöglichkeit von Daten, die dem Berufsgeheimnis unterliegen, von Gesundheitsdaten, besonderen Daten nach Art. 9 DSGVO oder von Profiling-Daten (vgl. Art. 4 Nr. 4 DSGVO)
Hintergrundwissen: https://www.datenschutz-praxis.de/fachartikel/risikobeurteilung-nach-dsgvo-in-der-praxis/
Datenschutzfolgenabschätzung
Vor Einführung eines neuen, risikoreichen Verarbeitungsprozesses muß eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden. Die Notwendigkeit einer DSFA stellt der (innerbetriebliche) Verantwortliche anhand der ermittelten Risikostufe fest.
Hier kommen Vertreter aus allen Bereichen (Anwender, Verantwortliche, IT-Sicherheit, Datenschutz, Rechtsamt) zusammen und beurteilen und bewerten den Verarbeitungsvorgang und treffen Maßnahmen zur Eindämmung des Risikos.
Hilfreich unterstützend: Software PIA der französischen Aufsichtsbehörde CNIL
der BayLfD zur Datenschutzfolgenabschätzung (mit Fallstudien, Orientierungshilfen und Informtionen zur Methodik)
