Datenschutz-Folgenabschätzung (DSFA/DPIA) durchführen

In Cenedril führen Sie eine Datenschutz-Folgenabschätzung durch, indem Sie im Datenschutz-Assistent die Seite Datenschutz-Folgenabschätzung öffnen. Dort erscheint jede Verarbeitungstätigkeit, die im Verzeichnis von Verarbeitungstätigkeiten als DSFA-pflichtig markiert ist. Sie arbeiten je Tätigkeit die Abschnitte Notwendigkeit, Datenfluss, Risikobewertung, Risikobehandlung und Konsultation durch, bestätigen die Aktivität und veröffentlichen das Ergebnis als Nachweis.

DSFA-Seite öffnen

Datenschutz-Folgenabschätzung aufrufen

Öffnen Sie den Datenschutz-Assistent und wählen Sie über die Fortschrittsleiste die Seite Datenschutz-Folgenabschätzung. Die Seite listet alle Verarbeitungstätigkeiten auf, die eine DSFA erfordern, jeweils mit einem Status-Hinweis.

Die DSFA-Seite mit den DSFA-pflichtigen Verarbeitungstätigkeiten und ihren Status-Hinweisen.

Fehlende Tätigkeiten ergänzen

Erscheint stattdessen der Hinweis „Es wurde keine Verarbeitungstätigkeit identifiziert, die eine DSFA erfordert.“, ist noch keine Tätigkeit als DSFA-pflichtig markiert. Über die Schaltfläche Zum Verzeichnis von Verarbeitungstätigkeiten wechseln Sie ins ROPA und markieren die betreffende Tätigkeit. Danach erscheint sie auf der DSFA-Seite.

Tätigkeit aufklappen

Klicken Sie auf eine Tätigkeit, um sie aufzuklappen. Es öffnen sich die Abschnitte der Abschätzung in der Reihenfolge, in der Sie sie ausfüllen.

Die Abschätzung ausfüllen

Notwendigkeit und Verhältnismäßigkeit bestätigen

Im Abschnitt Bewertung der Notwendigkeit und Verhältnismäßigkeit aktivieren Sie die vier Aussagen zu Datenminimierung, Zweckbindung, Speicherfristen und den Rechten der betroffenen Personen, soweit die Verarbeitung sie erfüllt.

Datenfluss beschreiben

Beschreiben Sie unter Datenfluss-Mapping im Pflichtfeld, wie die Daten durch die Verarbeitung fließen. Über Datenflussdiagramm hochladen können Sie zusätzlich ein Diagramm anhängen. Es lässt sich per Klick im Vollbild öffnen.

Risiken bewerten

Klicken Sie im Abschnitt Risikobewertung auf Risikobewertung starten. Wählen Sie die zutreffenden Risikoszenarien aus und bewerten Sie jeweils Eintrittswahrscheinlichkeit und Schadensausmass. Die Risikomatrix und die Übersichtstabelle fassen das Ergebnis zusammen.

Die Risikobewertung mit Auswahl der Szenarien sowie Wahrscheinlichkeit und Schadensausmass.

Risiken behandeln

Im Abschnitt Risikobehandlung ordnen Sie den Risiken passende Maßnahmen zu. Anschließend bewerten Sie die Risiken in der Neubewertung erneut, um die Wirkung der Maßnahmen festzuhalten.

Konsultation und Abschluss

Konsultation dokumentieren

Halten Sie im Abschnitt Konsultation fest, ob die Konsultation des Datenschutzbeauftragten (DSB) und die Interessengruppen-Konsultation stattgefunden haben. Verbleibt nach der Behandlung ein hohes Risiko, weist der Abschnitt Konsultation der Aufsichtsbehörde mit dem Hinweis „Hohe Risiken verbleiben nach Risikominderung“ darauf hin, dass eine Konsultation der Aufsichtsbehörde erforderlich ist.

Der Konsultations-Abschnitt mit DSB, Interessengruppen, Aufsichtsbehörde und Überprüfungsplanung.

Überprüfung planen

Legen Sie in der Überprüfungsplanung ein Datum für die nächste Überprüfung fest. So bleibt die Abschätzung bei veränderten Umständen aktuell.

Aktivität bestätigen und veröffentlichen

Klicken Sie unten in der Tätigkeit auf DSFA-Aktivität bestätigen. Wenn alle DSFA-pflichtigen Tätigkeiten vollständig sind, schließen Sie die Seite über Speichern & Weiter ab. Aus jeder vollständigen Abschätzung entsteht eine Aufzeichnung im Bereich Dokumentation, und der Assistent führt weiter zu den technischen und organisatorischen Maßnahmen.

Ergebnis: Die DSFA-pflichtigen Tätigkeiten tragen den Status „Vollständig“, jede abgeschlossene Abschätzung liegt als Aufzeichnung im Bereich Dokumentation, und bei verbleibendem hohem Risiko ist die Konsultation der Aufsichtsbehörde dokumentiert.

Häufige Fragen

Warum erscheint keine Tätigkeit auf der DSFA-Seite?

Die DSFA-Seite zeigt nur Verarbeitungstätigkeiten, die im Verzeichnis von Verarbeitungstätigkeiten (ROPA) als DSFA-pflichtig markiert sind. Solange keine Tätigkeit so markiert ist, erscheint ein Hinweis mit der Schaltfläche „Zum Verzeichnis von Verarbeitungstätigkeiten“. Markieren Sie dort die betreffende Tätigkeit, und sie taucht auf der DSFA-Seite auf.

Wann muss ich die Aufsichtsbehörde konsultieren?

Wenn nach der Risikobehandlung weiterhin ein hohes Risiko verbleibt, zeigt der Abschnitt „Konsultation der Aufsichtsbehörde“ den Hinweis „Hohe Risiken verbleiben nach Risikominderung“. In diesem Fall ist die vorherige Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich, bevor die Verarbeitung beginnt.

Muss ich ein Datenflussdiagramm hochladen?

Eine Beschreibung des Datenflusses im Textfeld ist Pflicht. Das Datenflussdiagramm ist optional und ergänzt die Beschreibung visuell. Sie können ein Bild hochladen und es per Klick im Vollbild prüfen.

Was passiert nach dem Abschluss einer DSFA?

Sobald eine DSFA-Aktivität den Status „Vollständig“ trägt und Sie über „Speichern & Weiter“ veröffentlichen, entsteht daraus eine Aufzeichnung im Bereich Dokumentation. Sie können die Abschätzung später erneut öffnen und nach Änderungen wieder bestätigen.

Kann ich eine DSFA später überarbeiten?

Ja. Öffnen Sie die Tätigkeit erneut und passen Sie die Angaben an. Über die Überprüfungsplanung legen Sie zudem ein Datum für die nächste regelmäßige Überprüfung fest, damit die Abschätzung aktuell bleibt.