Die Verarbeitung personenbezogener Daten kann Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten. Die DSGVO verfolgt zum Schutz der Rechte von Betroffenen einen risikobasierten Ansatz.
Der Verantwortliche muss
- die mit der Verarbeitung verbundenen Risiken identifizieren
- die identifizierten Risiken analysieren, indem er die Eintrittswahrscheinlichkeit und die Schwere der Folgen einschätzt
- die Risiken nach ihrer Schwere einordnen
- Maßnahmen festlegt, mit denen er das Risiko vermeidet oder beherrschbar macht
- die Aufsichtsbehörde konsultieren, wenn trotz Maßnahmen, die aus der Datenschutzfolgenabschätzung resultieren, weiterhin hohe Restrisiken bestehen
Die dafür zur Verfügung stehenden Instrumente sind u.a.
- das Verzeichnis der Verarbeitungstätigkeiten
- die Abbildung der Geschäftsprozesse, um zu erkennen, welche Schritte Risiken enthalten
- die Auswahl der technischen und organisatorischen Maßnahmen (TOM)
- die Datenschutzfolgenabschätzung mit den daraus resultierenden Maßnahmen
- die Benachrichtigung Betroffener bei Datenschutzverletzungen
- die Meldung an die Aufsichtsbehörde, wenn die vorgeschriebene Prüfung diese erforderlich macht
Alle Aktivitäten der Risikoerkennung und -behandlung erfordern eine gute und vollständige Dokumentation, um sie bei Nachfrage oder im Ereignisfall nachweisen zu können.
Wir unterstützen Sie bei allen Aufgaben, die im Umgang mit Risiken anfallen.