Related Articles

43 Dsgvo Deine Pflichten

Oktober 16, 2025

40 Dsgvo Deine Pflichten

August 25, 2025

4 Dsgvo Die Grundlagen

August 25, 2025

„`html

35 DSGVO: Deine Pflichten

1. Einleitung

Die Datenschutz-Grundverordnung (DSGVO) ist seit ihrem Inkrafttreten im Jahr 2018 für Unternehmen in der Europäischen Union (EU) von zentraler Bedeutung. Sie stellt sicher, dass personenbezogene Daten mit größter Sorgfalt behandelt werden und Unternehmen klare Verantwortlichkeiten im Umgang mit diesen Daten übernehmen müssen. In diesem Artikel betrachten wir die wichtigsten Pflichten, die Unternehmen unter der DSGVO erfüllen müssen, insbesondere die Anforderungen des Artikels 35.

2. Was ist Artikel 35 der DSGVO?

Artikel 35 der DSGVO beschreibt die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Diese Abschätzung ist erforderlich, wenn eine Verarbeitung von personenbezogenen Daten mit einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Der Artikel legt fest, dass Unternehmen und Organisationen die Risiken der Datenverarbeitung evaluieren müssen, bevor sie mit der Verarbeitung beginnen. Ziel ist es, potentielle negative Auswirkungen auf den Datenschutz frühzeitig zu erkennen und zu minimieren.

2.1 Wann ist eine DSFA erforderlich?

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die geplante Datenverarbeitung:

• Systematisch und umfassend personenbezogene Daten betrifft, einschließlich der Verwendung neuer Technologien, die eine hohe Datenmenge verarbeiten.
• Eine umfassende Analyse von Verhaltensweisen der betroffenen Personen ermöglicht, insbesondere bei der automatisierten Verarbeitung, wie z. B. Profiling.
• Eine umfangreiche Verarbeitung von besonders sensiblen Daten umfasst, wie Gesundheitsdaten, biometrische Daten oder Daten über strafrechtliche Verurteilungen.

2.2 Anforderungen an die DSFA

Die Datenschutz-Folgenabschätzung muss detailliert und umfassend sein. Sie muss insbesondere die folgenden Aspekte beinhalten:

• Die Beschreibung der geplanten Verarbeitungstätigkeit, einschließlich der Zwecke der Verarbeitung und der Art der verarbeiteten Daten.
• Die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Hinblick auf den Datenschutz.
• Die Identifikation und Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
• Die Angabe der vorgesehenen Maßnahmen, um die identifizierten Risiken zu minimieren und den Datenschutz zu gewährleisten.

3. Durchführung der Datenschutz-Folgenabschätzung

Die Durchführung einer DSFA ist ein strukturierter Prozess, der von der Planung bis zur Umsetzung von Maßnahmen reicht. Dieser Prozess umfasst mehrere Schritte, die gründlich dokumentiert und überwacht werden müssen.

3.1 Schritt 1: Identifikation der Verarbeitungstätigkeiten

Der erste Schritt besteht darin, alle geplanten Verarbeitungstätigkeiten zu identifizieren, die potenziell ein hohes Risiko für die betroffenen Personen darstellen könnten. Hierbei müssen insbesondere neue oder innovative Technologien berücksichtigt werden, die möglicherweise in der Vergangenheit nicht in einem solchen Umfang verwendet wurden.

3.2 Schritt 2: Bewertung der Notwendigkeit und Verhältnismäßigkeit

Im nächsten Schritt wird die Notwendigkeit der Datenverarbeitung hinterfragt. Es wird geprüft, ob die geplante Verarbeitung tatsächlich erforderlich ist, um den angestrebten Zweck zu erreichen. Gleichzeitig wird die Verhältnismäßigkeit geprüft, also ob die Verarbeitung in einem angemessenen Verhältnis zu den potenziellen Risiken für die betroffenen Personen steht.

3.3 Schritt 3: Risikobewertung

Die Risikobewertung ist der zentrale Bestandteil der DSFA. Sie erfordert die Identifikation aller Risiken, die mit der Datenverarbeitung verbunden sein könnten. Dies umfasst unter anderem:

• Das Risiko von Datenverlust oder unbefugtem Zugriff auf personenbezogene Daten.
• Das Risiko von Diskriminierung, Identitätsdiebstahl oder Missbrauch der Daten.
• Das Risiko der unzulässigen Verarbeitung von besonders sensiblen Daten.

3.4 Schritt 4: Maßnahmen zur Risikominimierung

Nach der Identifikation und Bewertung der Risiken müssen geeignete Maßnahmen ergriffen werden, um diese Risiken zu minimieren. Dies können technische und organisatorische Maßnahmen sein, wie etwa:

• Verschlüsselung von Daten während der Übertragung und Speicherung.
• Implementierung von Zugriffskontrollen und Authentifizierungssystemen.
• Schulung der Mitarbeiter im Umgang mit personenbezogenen Daten.

3.5 Schritt 5: Dokumentation und Überprüfung

Die gesamte DSFA muss dokumentiert werden, um im Falle einer Überprüfung durch Aufsichtsbehörden nachweisen zu können, dass die Datenschutzanforderungen erfüllt wurden. Darüber hinaus ist es notwendig, die DSFA regelmäßig zu überprüfen und bei Bedarf zu aktualisieren, insbesondere wenn sich die Verarbeitungstätigkeiten ändern oder neue Risiken auftreten.

4. Die Rolle des Datenschutzbeauftragten

Der Datenschutzbeauftragte (DSB) spielt eine zentrale Rolle bei der Durchführung der Datenschutz-Folgenabschätzung. Er oder sie sollte in alle Schritte des Prozesses eingebunden sein und sicherstellen, dass die Anforderungen der DSGVO erfüllt werden. Der DSB hilft dabei, Risiken zu bewerten, geeignete Maßnahmen zu identifizieren und sicherzustellen, dass alle notwendigen Dokumentationen erstellt werden.

5. Zusammenarbeit mit der Aufsichtsbehörde

In einigen Fällen ist es notwendig, die zuständige Aufsichtsbehörde in den Prozess der DSFA einzubeziehen. Dies ist vor allem dann der Fall, wenn die Risikobewertung ergibt, dass trotz der ergriffenen Maßnahmen ein hohes Risiko für die betroffenen Personen besteht. In solchen Fällen muss die Aufsichtsbehörde innerhalb eines Monats konsultiert werden. Die Behörde kann dann Maßnahmen empfehlen oder verlangen, um die Risiken zu mindern.

6. Folgen bei Verstößen gegen Artikel 35 der DSGVO

Verstöße gegen die Anforderungen des Artikel 35 der DSGVO können schwerwiegende Folgen für ein Unternehmen haben. Dazu gehören:

• Hohe Geldstrafen: Die DSGVO sieht Geldstrafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.
• Rufschädigung: Unternehmen, die gegen Datenschutzvorschriften verstoßen, riskieren einen erheblichen Schaden an ihrem Ruf, was zu Vertrauensverlusten bei Kunden und Geschäftspartnern führen kann.
• Haftung gegenüber betroffenen Personen: Betroffene Personen, deren Rechte verletzt wurden, können Schadensersatzforderungen geltend machen.

7. Fazit

Die Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO ist eine essentielle Pflicht für Unternehmen, die personenbezogene Daten in einer Weise verarbeiten, die mit hohen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Durch eine gründliche Risikobewertung und die Implementierung geeigneter Maßnahmen können Unternehmen nicht nur ihre gesetzlichen Verpflichtungen erfüllen, sondern auch das Vertrauen ihrer Kunden und Partner in den Datenschutz stärken.

8. Häufig gestellte Fragen (FAQ)

8.1 Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Eine DSFA ist erforderlich, wenn die geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, insbesondere bei der Verarbeitung sensibler Daten oder dem Einsatz neuer Technologien.

8.2 Was passiert, wenn ein Unternehmen keine DSFA durchführt?

Unternehmen, die keine DSFA durchführen, obwohl sie dazu verpflichtet sind, riskieren hohe Geldstrafen und Haftungsansprüche durch betroffene Personen. Zudem können sie den Ruf ihres Unternehmens gefährden.

8.3 Wie lange muss eine DSFA aufbewahrt werden?

Die DSFA muss so lange aufbewahrt werden, wie die Datenverarbeitung stattfindet, und zudem regelmäßig überprüft und aktualisiert werden, wenn sich die Verarbeitung oder die Risiken ändern.

„`