e‑Book: Hand­buch für die Daten­schutz-Fol­gen­ab­schät­zung (Fraun­ho­fer)

Nicho­las Mar­tin, Micha­el Frie­de­wald, Ina Schier­ing, Brit­ta A. Mester, Dara Hal­li­n­an und Mei­ko Jen­sen haben im Fraun­ho­fer Ver­lag ein “Hand­buch für die Pra­xis” für “Die Daten­schutz-Fol­gen­ab­schät­zung nach Art. 35 DSGVO” ver­öf­fent­licht. Es ist bei Fraun­ho­fer kosten­los im Voll­text abruf­bar (PDF).

Inhalts­über­sicht:

1 Ein­füh­rung
1.1 Datenschutz
1.2 Datenschutz-Folgenabschätzung
1.3 Ver­ant­wort­lich­keit für die DSFA
Verantwortliche
Datenschutzbeauftragte
Pro­duk­t­her­stel­ler, Auf­trags­ver­ar­bei­ter und gemeinsam
Verantwortliche

2 Not­wen­di­ge Vorarbeiten 
2.1 Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten nach
Art. 30 DSGVO
2.2 Betei­lig­te Stellen
2.3 Doku­men­ta­ti­on der recht­li­chen Grund­la­gen der
Verarbeitung
2.4 Bewer­tung der Not­wen­dig­keit und Verhältnismäßigkeit
der Verarbeitung

3 Pha­sen einer DSFA 

4 Pha­se I: Initi­ie­rung der DSFA 
4.1 Vorgehen
4.2 Prü­fung der Vor­ga­ben aus Arti­kel 35 Abs. 3 DSGVO
4.3 Posi­tiv­li­sten („Muss-Listen“) der Datenschutz-
Aufsichtsbehörden
4.4 Kri­te­ri­en der Arti­kel-29 Datenschutzgruppe
4.5 Eigen­stän­di­ge Prüfung
4.6 Doku­men­ta­ti­on des Prüfergebnisses

5 Pha­se II: Vor­be­rei­tung der DSFA 
5.1 Vorgehen
5.2 Samm­lung von Infor­ma­tio­nen und Beschrei­bung der
Ver­ar­bei­tungs­vor­gän­ge und der Zwecke der Verarbeitung
5.3 Iden­ti­fi­ka­ti­on der betrof­fe­nen Personen
5.4 Iden­ti­fi­ka­ti­on wei­te­rer Beteiligter
5.5 DSFA-Team

6 Pha­se III.: Durch­füh­rung der DSFA 
6.1 Vorgehen
6.2 Was sind Risi­ken im Sin­ne der DSGVO?
Schä­den und die Beein­träch­ti­gung von Rech­ten und Freiheiten
Ereignisse
6.3 Risi­ko­iden­ti­fi­ka­ti­on und Risi­ko­ana­ly­se, Erstel­lung von Schadensszenarien
Ana­ly­se an Hand der Gewährleistungsziele
6.4 Risikobewertung
6.5 Aus­wahl von Abhilfemaßnahmen
6.6 Bewer­tung der ver­blei­ben­den Risi­ken und Entscheidung
über wei­te­re Schritte
6.7 Bewer­tung der Not­wen­dig­keit und Ver­hält­nis­mä­ßig­keit 49
6.8 Emp­foh­le­ne Metho­dik: Partizipatives
Work­shop-basier­tes Vorgehen
6.9 DSFA-Bericht
6.10 Vor­he­ri­ge Kon­sul­ta­ti­on der Aufsichtsbehörde

7 Pha­se IV: Umset­zung der DSFA 
7.1 Imple­men­tie­rung und Test der Abhilfemaßnahmen
7.2 Nach­weis der Ein­hal­tung der DSGVO und Freigabe
der Verarbeitung

8 Pha­se V: Fort­lau­fen­de Über­prü­fung der DSFA

ANHANG 
A Beschrei­bung der Gewährleistungsziele
A1 Datenminimierung
A2 Verfügbarkeit
A3 Integrität
A4 Vertraulichkeit
A5 Nichtverkettbarkeit
A6 Transparenz
A7 Intervenierbarkeit
B Wei­ter­füh­ren­de Literatur
C Abkürzungen
D Anmerkungen
E Über die Autoren