Datenschutz-Folgenabschätzung (DSFA / PIA)
Was ist Datenschutz-Folgenabschätzung (DSFA / PIA)?
Datenschutz-Folgenabschätzung (DSFA / PIA)Strukturierter Prozess zur Identifikation, Bewertung und Minderung von Datenschutzrisiken eines Systems, Projekts oder Verarbeitungsvorgangs vor dessen Produktivsetzung.
Eine Privacy Impact Assessment (PIA) bzw. Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine dokumentierte Bewertung, wie ein Verarbeitungsvorgang die Rechte und Freiheiten betroffener Personen beeinträchtigt. Sie kartiert Datenflüsse, Rechtsgrundlagen, Kategorien Betroffener, Speicherdauer, Empfänger, Übermittlungen, Sicherheitsmaßnahmen und Restrisiken und konsultiert DSB und Stakeholder. Eine DSFA ist u. a. bei groß angelegter Überwachung, sensibler Datenverarbeitung, automatisierten Entscheidungen mit erheblicher Wirkung und weiteren von Behörden gelisteten Hochrisiko-Vorgängen verpflichtend. Methoden wie das CNIL-PIA-Tool, das ICO-DPIA-Template, der ENISA-Risikokatalog und NIST IR 8062 unterstützen reproduzierbare Bewertungen. Ergebnis sind Design-Änderungen, Minderungen, vorherige Konsultation und Monitoring.
● Beispiele
- 01
Vor dem Einsatz von Gesichtserkennung an Bürozugängen wird eine DSFA durchgeführt.
- 02
Eine PIA wird aktualisiert, wenn ein neuer Auftragsverarbeiter in der Support-Plattform eingebunden wird.
● Häufige Fragen
Was ist Datenschutz-Folgenabschätzung (DSFA / PIA)?
Strukturierter Prozess zur Identifikation, Bewertung und Minderung von Datenschutzrisiken eines Systems, Projekts oder Verarbeitungsvorgangs vor dessen Produktivsetzung. Es gehört zur Kategorie Datenschutz der Cybersicherheit.
Was bedeutet Datenschutz-Folgenabschätzung (DSFA / PIA)?
Strukturierter Prozess zur Identifikation, Bewertung und Minderung von Datenschutzrisiken eines Systems, Projekts oder Verarbeitungsvorgangs vor dessen Produktivsetzung.
Wie funktioniert Datenschutz-Folgenabschätzung (DSFA / PIA)?
Eine Privacy Impact Assessment (PIA) bzw. Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist eine dokumentierte Bewertung, wie ein Verarbeitungsvorgang die Rechte und Freiheiten betroffener Personen beeinträchtigt. Sie kartiert Datenflüsse, Rechtsgrundlagen, Kategorien Betroffener, Speicherdauer, Empfänger, Übermittlungen, Sicherheitsmaßnahmen und Restrisiken und konsultiert DSB und Stakeholder. Eine DSFA ist u. a. bei groß angelegter Überwachung, sensibler Datenverarbeitung, automatisierten Entscheidungen mit erheblicher Wirkung und weiteren von Behörden gelisteten Hochrisiko-Vorgängen verpflichtend. Methoden wie das CNIL-PIA-Tool, das ICO-DPIA-Template, der ENISA-Risikokatalog und NIST IR 8062 unterstützen reproduzierbare Bewertungen. Ergebnis sind Design-Änderungen, Minderungen, vorherige Konsultation und Monitoring.
Wie schützt man sich gegen Datenschutz-Folgenabschätzung (DSFA / PIA)?
Schutzmaßnahmen gegen Datenschutz-Folgenabschätzung (DSFA / PIA) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Datenschutz-Folgenabschätzung (DSFA / PIA)?
Übliche alternative Bezeichnungen: DSFA, DPIA, Datenschutz-Folgenabschätzung.
● Verwandte Begriffe
- privacy№ 856
Privacy by Design
Engineering- und Governance-Ansatz, der Datenschutz von Anfang an in Systeme, Prozesse und Standardeinstellungen integriert, statt ihn nachträglich hinzuzufügen.
- privacy№ 276
Datenklassifizierung
Prozess der Kennzeichnung von Daten nach Sensibilität und Wert, damit Schutz-, Handhabungs- und Aufbewahrungsmaßnahmen konsistent angewendet werden können.
- privacy№ 280
Datenminimierung
Datenschutzgrundsatz, der vorschreibt, nur die personenbezogenen Daten zu erheben, zu verarbeiten und aufzubewahren, die für einen definierten, rechtmäßigen Zweck notwendig sind.
- privacy№ 278
Data Loss Prevention (DLP)
Technologien und Richtlinien, die unbefugte Abflüsse sensibler Daten auf Endpunkten, im Netzwerk, in E-Mails und in Cloud-Diensten erkennen und blockieren.
- compliance№ 440
DSGVO
Datenschutz-Grundverordnung der Europäischen Union, die die Verarbeitung personenbezogener Daten von Personen in der EU und im EWR regelt.
- privacy№ 210
Consent Management
Prozesse und Werkzeuge zur Erhebung, Dokumentation, Aktualisierung und Durchsetzung von Nutzerzustimmungen für die Verarbeitung personenbezogener Daten und das Setzen von Cookies gemäß Datenschutzrecht.
● Siehe auch
- № 228CPRA