DSFA zum HinSchG

Risikomanagement bei einer internen Meldestelle und anlasslose Prüfungen der Aufsichtsbehörden

Wenn Ihr Unternehmen eine interne Meldestelle zum HinSchG umgesetzt hat, empfehlen wir (falls nicht schon geschehen) eine Datenschutzfolgeabschätzung (DSFA) nachzuholen.

Im Zuge des Risikomanagements ist zu prüfen, ob eine Datenschutzfolgeabschätzung nach Art. 35 DSGVO durchgeführt werden muss.

Im Rahmen ihrer gesetzlichen Aufgaben nach Art. 58 DSGVO führt die Bayerische Datenschutzaufsicht bereits anlasslose Prüfungen auf Umsetzungen zur Datenschutzfolgeabschätzung bei Unternehmen durch.

Unternehmen die angeschrieben werden, erhalten dabei zusammen mit dem Anschreiben ein Informationsblatt, in dem die Rechtsgrundlage für die Prüfung und die Voraussetzungen einer Schwellwertanalyse kurz skizziert werden, den Prüfbogen mit den folgenden zwei Prüfpunkten, Aufstellung der Einträge des Verzeichnisses der Verarbeitungstätigkeiten mit wahrscheinlich hohem Risiko.

Wann eine Datenschutzfolgeabschätzung durchzuführen ist, richtet sich nach Art. 35 DSGVO. Sie ist verpflichtend, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 DSGVO nennt Fälle, in denen die Voraussetzungen des Abs. 1 erfüllt sind,

  • Die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen zu entfalten oder diese in ähnlich erheblicher Weise zu beeinträchtigen,

  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder

  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

 

Als Ansprechpartner stehen Ihnen hierfür unser Datenschutz-Team oder Ihr Datenschutzbeauftragter gerne zur Verfügung.

 

Weiterführend:

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Head of Compliance

Markus Vatter