Nicholas Martin, Michael Friedewald, Ina Schiering, Britta A. Mester, Dara Hallinan und Meiko Jensen haben im Fraunhofer Verlag ein “Handbuch für die Praxis” für “Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO” veröffentlicht. Es ist bei Fraunhofer kostenlos im Volltext abrufbar (PDF).
Inhaltsübersicht:
1 Einführung
1.1 Datenschutz
1.2 Datenschutz-Folgenabschätzung
1.3 Verantwortlichkeit für die DSFA
Verantwortliche
Datenschutzbeauftragte
Produkthersteller, Auftragsverarbeiter und gemeinsam
Verantwortliche
2 Notwendige Vorarbeiten
2.1 Verzeichnis von Verarbeitungstätigkeiten nach
Art. 30 DSGVO
2.2 Beteiligte Stellen
2.3 Dokumentation der rechtlichen Grundlagen der
Verarbeitung
2.4 Bewertung der Notwendigkeit und Verhältnismäßigkeit
der Verarbeitung
3 Phasen einer DSFA
4 Phase I: Initiierung der DSFA
4.1 Vorgehen
4.2 Prüfung der Vorgaben aus Artikel 35 Abs. 3 DSGVO
4.3 Positivlisten („Muss-Listen“) der Datenschutz-
Aufsichtsbehörden
4.4 Kriterien der Artikel-29 Datenschutzgruppe
4.5 Eigenständige Prüfung
4.6 Dokumentation des Prüfergebnisses
5 Phase II: Vorbereitung der DSFA
5.1 Vorgehen
5.2 Sammlung von Informationen und Beschreibung der
Verarbeitungsvorgänge und der Zwecke der Verarbeitung
5.3 Identifikation der betroffenen Personen
5.4 Identifikation weiterer Beteiligter
5.5 DSFA-Team
6 Phase III.: Durchführung der DSFA
6.1 Vorgehen
6.2 Was sind Risiken im Sinne der DSGVO?
Schäden und die Beeinträchtigung von Rechten und Freiheiten
Ereignisse
6.3 Risikoidentifikation und Risikoanalyse, Erstellung von Schadensszenarien
Analyse an Hand der Gewährleistungsziele
6.4 Risikobewertung
6.5 Auswahl von Abhilfemaßnahmen
6.6 Bewertung der verbleibenden Risiken und Entscheidung
über weitere Schritte
6.7 Bewertung der Notwendigkeit und Verhältnismäßigkeit 49
6.8 Empfohlene Methodik: Partizipatives
Workshop-basiertes Vorgehen
6.9 DSFA-Bericht
6.10 Vorherige Konsultation der Aufsichtsbehörde
7 Phase IV: Umsetzung der DSFA
7.1 Implementierung und Test der Abhilfemaßnahmen
7.2 Nachweis der Einhaltung der DSGVO und Freigabe
der Verarbeitung
8 Phase V: Fortlaufende Überprüfung der DSFA
ANHANG
A Beschreibung der Gewährleistungsziele
A1 Datenminimierung
A2 Verfügbarkeit
A3 Integrität
A4 Vertraulichkeit
A5 Nichtverkettbarkeit
A6 Transparenz
A7 Intervenierbarkeit
B Weiterführende Literatur
C Abkürzungen
D Anmerkungen
E Über die Autoren