search
Das Medium für diejenigen, die das Unternehmen neu erfinden
Software anbieten

EIPD: Wie man die GDPR-Folgenabschätzung automatisiert

EIPD: Wie man die GDPR-Folgenabschätzung automatisiert

Von Anaraya Albornoz

Am 30. April 2025

Das EIPD oder die Folgenabschätzung ist eines der neuen Merkmale der Datenschutz-Grundverordnung. Haben Sie in Ihrem Unternehmen ein Datenschutzrisiko festgestellt? Finden Sie heraus, was Sie für jeden der betroffenen Verarbeitungsvorgänge tun müssen.

Die Folgenabschätzung, auch bekannt als PIA (Privacy Impact Assessment), besteht in der Durchführung einer umfassenden Studie mit dem Ziel, die Auswirkungen eines oder mehrerer Datenverarbeitungsvorgänge auf die Privatsphäre zu bewerten.

Erfahren Sie mehr über die wichtigsten Konzepte für die Einhaltung der DSGVO und entdecken Sie die besten Lösungen für die Einhaltung der Vorschriften.

Was ist eine PIA?

Die PIA oder Datenschutz-Folgenabschätzung ist eine der Bestimmungen der neuen Europäischen Datenschutzgrundverordnung (GDPR).

Die Datenschutz-Folgenabschätzung muss die Verarbeitung und ihren Zweck beschreiben, die Zulässigkeit der Verarbeitung in Bezug auf den Zweck abschätzen, die Risiken ermitteln und die Maßnahmen zur Bewältigung der Risiken detailliert beschreiben.

"Eine Folgenabschätzung wird von den Behörden dringend empfohlen und sollte vor Beginn der Datenverarbeitung durchgeführt werden.

Die DSGVO-Folgenabschätzung muss jedoch während des gesamten Lebenszyklus der Verarbeitung beibehalten und aktualisiert werden .

Warum eine GDPR-Folgenabschätzung durchführen?

Eine Folgenabschätzung ist der beste Weg, um die Konformität eines Verarbeitungsvorgangs zu überprüfen und ein Risiko im Zusammenhang mit dem Verlust oder der Gefährdung verarbeiteter Daten zu vermeiden.

Die Durchführung einer Risikobewertung ermöglicht es den für die Datenverarbeitung Verantwortlichen,:

  • die Ursache eines Risikos zu ermitteln und die Wahrscheinlichkeit seines Eintretens abzuschätzen;

  • die Datenverarbeitung so zu verbessern, dass die Rechte des Einzelnen gewahrt bleiben;

  • die für die Einhaltung der Verordnung erforderlichen technischen und organisatorischen Voraussetzungen zu schaffen;

  • Nachweis des Risikomanagements gegenüber den Behörden.

Während die DSGVO-Folgenabschätzung für alle Unternehmen, die Daten sammeln und verwalten, empfohlen wird, ist die DSGVO in vielen Fällen zwingend vorgeschrieben, und die Nichteinhaltung dieser Bestimmung stellt einen schweren Verstoß dar.

Artikel 35 DSGVO: Wann ist eine Folgenabschätzung obligatorisch?

"Sie legt fest, dass eine behördliche Datenschutzkontrolle vor der Durchführung einer Verarbeitung durchgeführt werden muss, wenn diese wahrscheinlich "ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt". Diese Verpflichtung steht im Einklang mit dem Grundsatz des Schutzes der Privatsphäre, der darauf abzielt, eine Verarbeitung bereits in der Konzeptionsphase zu analysieren und ein angemessenes Risikomanagement zu gewährleisten sowie die Grundsätze der Notwendigkeit und Verhältnismäßigkeit zu beachten.

Artikel 35 (3): Verarbeitungen, die ein hohes Risiko beinhalten können

Automatisiertes Profiling

(a) "die systematische und umfassende Auswertung personenbezogener Aspekte in Bezug auf natürliche Personen, die auf einer automatisierten Verarbeitung, z. B. einem Profiling, beruht und auf deren Grundlage Entscheidungen getroffen werden, die für natürliche Personen rechtliche Folgen nach sich ziehen oder sie in ähnlicher Weise erheblich beeinträchtigen";

Großtechnische Verarbeitung

(b) "groß angelegte Verarbeitungen besonderer Datenkategorien nach Artikel 9 Absatz 1 oder von personenbezogenen Daten über Verurteilungen und Straftaten nach Artikel 10",

Dies bezieht sich auf die Verarbeitung sensibler Daten (genetische Daten, Gesundheitsdaten, Daten über Rasse und ethnische Herkunft, personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten usw.).

Einsatz von invasiven Technologien

(c) "groß angelegte systematische Beobachtung eines öffentlich zugänglichen Bereichs".

Videoüberwachung, Drohnen, biometrische Daten.

Andere Verarbeitungen, die ein EIPD erfordern

  • Daten von Kindern unter 14 Jahren;

  • Datenübermittlungen, insbesondere im Falle einer internationalen Übermittlung in ein Land außerhalb des Europäischen Wirtschaftsraums;

  • Personenbezogene Daten, die nicht anonymisiert oder nicht anonymisiert sind;

  • Jede Verarbeitung, die die Erhebung hochsensibler Daten beinhaltet;

  • Jede Verarbeitung, die eine umfangreiche Datenerhebung beinhaltet;

  • Querverweise von Daten, Änderung der verarbeiteten Informationen oder des Zwecks der Verarbeitung;

  • Verarbeitung von schutzbedürftigen Personen (Patienten, ältere Menschen, Kinder, usw.).

EIPD-Beispiel: zu prüfende Verarbeitung

Ein Unternehmen führt eine Werbeverarbeitung mit dem Ziel durch, die Geolokalisierungsdaten von Millionen von Personen zu sammeln, um Werbeprofile zu erstellen und ihnen personalisierte Werbung auf der Grundlage ihrer geografischen Position zu zeigen. Diese Verarbeitung fällt unter die Kategorie der groß angelegten Verarbeitung sensibler Daten (Geolokalisierung). Es ist eine Datenschutz-Folgenabschätzung erforderlich.

Wer ist an der Durchführung der DPA beteiligt?

Die Beratung durch den DSB bei der Durchführung der DSB-Folgenabschätzung ist zur Vermeidung von Risiken unerlässlich.

Der für die Verarbeitung Verantwortliche hat die Pflicht, die Einhaltung der DSGVO sicherzustellen .

Wurde ein DSB (Datenschutzbeauftragter) bestellt, muss er den für die Verarbeitung Verantwortlichen beraten und die Durchführung der Folgenabschätzung überprüfen.

Ist ein Unterauftragnehmer an der Verarbeitung beteiligt, muss er seine Unterstützung anbieten und die für die Durchführung der PIA erforderlichen Informationen bereitstellen.

Soll die PIA durchgeführt werden oder nicht? → Der AEPD und die Risikoanalyse sind die Antwort.

Sie sind sich immer noch nicht im Klaren darüber, ob eine der Tätigkeiten Ihres Unternehmens eine Folgenabschätzung erfordert? Kein Problem! Sobald Sie die GDPR-Risikoanalyse durchgeführt haben, werden Sie keine Zweifel mehr haben.

Wenn Sie nicht wissen, was eine Risikoanalyse ist oder wie man sie durchführt, können Sie einen Blick auf unseren Artikel über die GDPR-Risikoanalyse werfen.

Ziel dieser obligatorischen Übung ist es, das Vorliegen von Umständen festzustellen, die in der Folge eine DSGVO-Folgenabschätzung erfordern.

Inhalt der GDPR-Folgenabschätzung

Der EIPD-Leitfaden der spanischen Datenschutzbehörde zeigt detailliert die Methodik auf, die bei der Erstellung eines EIPD gemäß den Anforderungen der DSGVO befolgt werden muss.

Die Bewertung ist in 3 Hauptschritte unterteilt:

  • Beschreibung (von der Erfassung bis zur Vernichtung der Daten) und Kontext der Verarbeitung (Rechtmäßigkeit, Notwendigkeit und Verhältnismäßigkeit);

  • Identifizierung, Bewertung und Risikomanagement;

  • Schlussfolgerung (Aktionsplan) und Validierung (günstige oder ungünstige Schlussfolgerung).

Ebenso empfiehlt die AEPD, dass der Aktionsplan Folgendes enthalten sollte:

  • Beschreibung der Kontrollmaßnahmen,

  • die für die Durchführung verantwortliche Person,

  • Frist für die Umsetzung.

Es sollte auch angegeben werden, ob die PIA für einen neuen Verarbeitungsvorgang oder für einen bestehenden Verarbeitungsvorgang durchgeführt wurde.

  1. Im ersten Fall wird der Aktionsplan vor Beginn der Verarbeitung umgesetzt; dieser Grundsatz ist als "Datenschutz durch Technik" bekannt .

  2. Im zweiten Fall muss der für die Verarbeitung Verantwortliche eine Frist für die Umsetzung des Aktionsplans bei der laufenden Verarbeitung setzen. Wenn diese Frist nicht eingehalten wird und das Risiko nicht akzeptabel ist, kann und muss der für die Verarbeitung Verantwortliche die Einstellung der Verarbeitung verlangen.

Artikel 36 DSGVO: Konsultation der AEPD?

"Der für die Verarbeitung Verantwortliche konsultiert die Aufsichtsbehörde vor der Verarbeitung, wenn eine Datenschutz-Folgenabschätzung gemäß Artikel 35 ergibt, dass die Verarbeitung ein hohes Risiko zur Folge hätte, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift".

Enthält die Schlussfolgerung der PIA ein hohes Risiko, kann der für die Verarbeitung Verantwortliche zusätzliche Kontrollmaßnahmen ergreifen, um das Risiko auf ein akzeptables Niveau zu senken. Ist es jedoch nicht möglich, das Risiko zu mindern, darf die Verarbeitung nicht durchgeführt werden und der für die Verarbeitung Verantwortliche ist verpflichtet, die Aufsichtsbehörde zu konsultieren.

Im Idealfall legt die Aufsichtsbehörde die Bedingungen und Kontrollmaßnahmen fest, unter denen die Verarbeitung durchgeführt werden darf. Wenn dies der Fall ist, kann die Aufsichtsbehörde jedoch auch angeben, dass die Verarbeitung unter keinen Umständen durchgeführt werden darf.

Die Datenschutz-Folgenabschätzung ist ein gründlicher, umfassender und erschöpfender Prozess, bei dem alle Aspekte der Verarbeitung bewertet werden: vom Anfang bis zum Ende und unter Berücksichtigung aller Variablen. Glücklicherweise stehen heute leistungsfähige Tools zur Verfügung, mit denen sich die Geschäftsprozesse und rechtlichen Verpflichtungen automatisieren und optimieren lassen.

Tools zur Datenschutz-Folgenabschätzung: 2 Beispiele

Data Privacy Solution

Data Privacy Solution ist eine 100% spanische Lösung für den Datenschutz im Rahmen der GDPR und der LOPDGDD. Das Tool wurde für alle Arten von Unternehmen und Beratern entwickelt.

Wie hilft Data Privacy Solution bei der Erstellung des EIPD?

Data Privacy Solution ermöglicht die Erstellung und Verwaltung von EIPD durch mehrere Nutzer, einschließlich des DSB zur Überprüfung. Dank des SaaS-Modells haben der DSB und alle Nutzer von überall und jederzeit Zugang.

Diese GDPR-Software zeigt an, ob für eine Datenverarbeitung eine Risikoanalyse ausreichend ist oder ob ein PPRD erstellt werden muss. Und selbst wenn nur die Risikoanalyse erforderlich ist, kann der Nutzer wählen, ob er auch die Risikobehandlung oder sogar die gesamte PIA durchführen möchte.

Sowohl die Risikoanalyse als auch das EIPD basieren auf den Leitlinien und bewährten Verfahren der AEPD (Spanische Datenschutzbehörde).

Juristen für Datenschutz und Ingenieure für Informationssicherheit sind für die Erstellung des kompletten Tools verantwortlich.

Smart GDPR

Die Online-Lösung (SaaS) Smart GDPR erfüllt alle Anforderungen der europäischen Verordnung.

30 Jahre Erfahrung in den Bereichen Datenschutz, Informationssicherheit und Schutz der Privatsphäre unterstreichen die Legitimität von Smart GDPR als eine der besten GDPR-Lösungen.

Bis heute vereint Smart GDPR alle für die Einhaltung der GDPR erforderlichen Ressourcen auf einer einzigen Plattform!

Wie führt man eine Folgenabschätzung mit Smart GDPR durch?

Smart GDPR bietet ein Modul, das die GDPR-Risikobewertung erleichtert:

  • Überprüfungen.

  • Risikoanalyse.

  • Folgenabschätzung (PIA).

  • Halb-automatische Aktionspläne.

  • Projektverwaltung.

Das Modul verfügt über 1460 Behandlungskontrollpunkte, die von einem Algorithmus ausgeführt werden. Die Zeitersparnis ist beträchtlich und die Ergebnisse sind präzise. Smart GDPR führt in einer Stunde aus, was normalerweise etwa fünf Stunden dauern würde.

Der Aktionsplan wird (auf der Grundlage der Antworten) automatisch erstellt, zusammen mit einer detaillierten Liste der zu ergreifenden Kontrollmaßnahmen.

Jeder Antwort wird automatisch eine Punktzahl zugewiesen. Im Falle einer unterdurchschnittlichen Bewertung muss die Antwort systematisch von dem für die Verarbeitung Verantwortlichen oder dem behördlichen Datenschutzbeauftragten überprüft werden. Sie können auch angeben, ob Sie alle Antworten prüfen möchten.

Smart GDPR +: deckt ein finanzielles Risiko von bis zu 90 Millionen Euro ab, falls Sie versagen sollten.

Automatisierung des Bewertungsprozesses

Digitale Tools, Datenschutzgesetze und Geschäftsprozesse entwickeln sich ständig weiter. Die Implementierung einer SaaS-Lösung ermöglicht es Ihnen, mit Ihren Verpflichtungen Schritt zu halten.

Artikel übersetzt aus dem Spanischen