Recht · 14 min

DSGVO-Compliance-Risiken in einer geplanten Datenaustauchvereinbarung zwischen zwei Organisationen bewerten

Archetyp: Critic Stufe 3

Kontext

Zwei Organisationen schließen eine gemeinsame Datenaustauchvereinbarung ab, die personenbezogene Daten von EU-Bürgern umfasst. Der Datenschutzbeauftragte muss die DSGVO-Compliance-Risiken bewerten, bevor die Vereinbarung unterzeichnet wird, und eine strukturierte Risikobewertung erstellen, auf die das Rechtsteam handeln kann.

Vorher (Unstrukturiert)

"Prüfen Sie, ob diese Datenaustauschvereinbarung DSGVO-konform ist."

Was fehlt

  • × Keine professionelle Rolle etabliert — wer führt diese Bewertung durch?
  • × Binäre Rahmung (konform/nicht) übersieht nuancierte Risikolandschaft
  • × Keine spezifischen Datenkategorien, Volumina oder Jurisdiktionen genannt
  • × Keine analytische Methodik — welche DSGVO-Artikel als Bewertungsgrundlage?
  • × Keine Bewertungskriterien — wie gründlich soll die Analyse sein?

Nachher (MOTIVE-Strukturiert)

[M] Motivation

Als Datenschutzbeauftragter muss ich DSGVO-Compliance-Risiken bewerten, weil zwei Organisationen eine gemeinsame Datenaustauschvereinbarung mit personenbezogenen Daten von EU-Bürgern eingehen und das Rechtsteam eine risikobewertete Analyse vor der Unterzeichnung benötigt.

[O] Objekt

Liefern Sie einen Risikobewertungsbericht mit Compliance-Lückenmatrix, Risiko-Schweregradbewertungen (Hoch/Mittel/Niedrig) und priorisierten Abhilfemaßnahmen. Erfolgskriterien: (1) Alle relevanten DSGVO-Artikel abgedeckt, (2) Jedes Risiko nach Wahrscheinlichkeit und Auswirkung bewertet, (3) Abhilfemaßnahmen mit Fristen zugewiesen.

[T] Tool

Verwenden Sie die DSFA-Methodik des ICO und die Analyse der Rechtsgrundlage nach Art. 6/9 DSGVO. Querverweisen mit EDPB-Leitlinien 07/2020 zu Verantwortlichen/Auftragsverarbeitern.

[I] Instruktion

1. Identifizieren Sie alle betroffenen personenbezogenen Datenkategorien. 2. Bewerten Sie die Rechtsgrundlage für jede Verarbeitungsaktivität nach Art. 6 und Art. 9. 3. Bewerten Sie grenzüberschreitende Übertragungsmechanismen (Art. 44-49). 4. Bewerten Sie jedes Risiko nach Wahrscheinlichkeit (1-5) und Auswirkung (1-5). 5. Bei unklarer Regulierung als 'erfordert juristische Prüfung' kennzeichnen.

[V] Variablen

Jurisdiktionen: Deutschland, Frankreich. Betroffene: ~50.000 EU-Bürger. Datentypen: Verhaltensanalyse, Transaktionsdaten. Verantwortlichkeit: Gemeinsam Verantwortliche (Art. 26). Zielgruppe: Rechtsteam und DSB. Format: Strukturierter Bericht mit Risikomatrix. Ausschließen: Mitarbeiterdaten, historische Daten vor 2020.

[E] Evaluation

Bewerten: (1) Rechtliche Genauigkeit 1-5, (2) Vollständigkeit der Risikoabdeckung 1-5, (3) Umsetzbarkeit der Empfehlungen 1-5, (4) Genauigkeit der Regulierungszitate 1-5. Lücken mit hohem Schweregrad sofort kennzeichnen. Bei Wert < 3,5 betroffene Abschnitte überarbeiten.

Ergebnisvergleich

Vorher-Ausgabe

Die Datenaustauschvereinbarung sollte DSGVO-konform sein. Sie müssen eine ordnungsgemäße Einwilligung und Datenschutzmaßnahmen sicherstellen. Erwägen Sie die Ernennung eines DSB und die Durchführung einer Datenschutz-Folgenabschätzung.

Vollstaendige Ausgabe anzeigen
Die Datenaustauschvereinbarung sollte den DSGVO-Vorschriften entsprechen. Sie müssen sicherstellen, dass angemessene Einwilligungsmechanismen vorhanden sind, bevor personenbezogene Daten geteilt werden. Es ist wichtig, eine Rechtsgrundlage für die Verarbeitung zu haben und transparent über die Datennutzung zu sein. Sie sollten die Ernennung eines Datenschutzbeauftragten in Erwägung ziehen, falls noch nicht geschehen, da dies nach der DSGVO häufig erforderlich ist. Eine Datenschutz-Folgenabschätzung sollte ebenfalls durchgeführt werden, um Risiken im Zusammenhang mit dem Datenaustausch zu identifizieren und zu mindern. Für Datenübertragungen außerhalb der EU stellen Sie sicher, dass angemessene Schutzmaßnahmen vorhanden sind, etwa Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften. Prüfen Sie auch, ob das Empfängerland über einen Angemessenheitsbeschluss der Europäischen Kommission verfügt. Stellen Sie schließlich sicher, dass Sie Ihre Compliance-Bemühungen dokumentieren und Aufzeichnungen über Verarbeitungstätigkeiten führen. Regelmäßige Überprüfungen der Vereinbarung sollten durchgeführt werden, um die fortlaufende Einhaltung sicherzustellen. Konsultieren Sie einen auf Datenschutz spezialisierten Rechtsexperten.

Nachher-Ausgabe

Risiko R-003: Grenzüberschreitender Übertragungsmechanismus (Art. 46). Schweregrad: HOCH. Die Vereinbarung nennt Standardvertragsklauseln (SCCs), adressiert aber nicht die ergänzenden Maßnahmen post-Schrems II. Wahrscheinlichkeit: 4/5. Auswirkung: 5/5. Abhilfe: Transfer Impact Assessment durchführen. Frist: Vor Vertragsunterzeichnung.

Vollstaendige Ausgabe anzeigen
**Risikoregister-Zusammenfassung** Diese Bewertung identifiziert 6 Compliance-Risiken in 4 DSGVO-Bereichen für die geplante gemeinsame Datenaustauschvereinbarung über ca. 50.000 EU-Bürger-Datensätze (Verhaltensanalyse und Transaktionsdaten). Die Bewertungsmethodik folgt der ICO-DSFA-Anleitung und den EDPB-Leitlinien 07/2020. **Risiko R-001: Rechtsgrundlage (Art. 6(1))** Schweregrad: MITTEL. Die Vereinbarung nennt berechtigtes Interesse (Art. 6(1)(f)) für die Verarbeitung von Verhaltensanalysen, enthält aber keine dokumentierte Interessenabwägung (LIA). Wahrscheinlichkeit: 3/5. Auswirkung: 4/5. Risikoscore: 12. Abhilfe: LIA mit Interessenabwägungstest nach EDPB-Leitlinien 06/2014 vor Vertragsabschluss abschließen. Frist: 30 Tage vor Unterzeichnung. **Risiko R-002: Gemeinsame Verantwortlichkeit (Art. 26)** Schweregrad: HOCH. Der aktuelle Entwurf spezifiziert nicht die Zuweisung der Betroffenenrechte-Verantwortlichkeiten zwischen den beiden Verantwortlichen. Art. 26(1) erfordert eine transparente Vereinbarung, die festlegt, welcher Verantwortliche Auskunftsanfragen (Art. 15), Berichtigungen (Art. 16) und Löschungen (Art. 17) bearbeitet. Wahrscheinlichkeit: 4/5. Auswirkung: 4/5. Risikoscore: 16. Abhilfe: Art. 26-Vereinbarung mit expliziter Verantwortungsmatrix entwerfen. Frist: Vor Vertragsunterzeichnung. **Risiko R-003: Grenzüberschreitender Übertragungsmechanismus (Art. 46)** Schweregrad: HOCH. Die Vereinbarung nennt Standardvertragsklauseln (SCCs), adressiert aber nicht die ergänzenden Maßnahmen post-Schrems II für deutsch-französische Datenflüsse mit Verhaltensanalysen. Wahrscheinlichkeit: 4/5. Auswirkung: 5/5. Risikoscore: 20. Abhilfe: Transfer Impact Assessment nach EDPB-Empfehlungen 01/2020 durchführen. Alle Unterauftragnehmer-Standorte kartieren. Frist: Vor Vertragsunterzeichnung. **Schweregrad-/Wahrscheinlichkeitsmatrix & Nächste Schritte** Kritisch (Score 15+): R-002, R-003 — müssen vor Unterzeichnung gelöst werden. Mittel (Score 8-14): R-001 — innerhalb von 30 Tagen lösen. Empfohlen: Rechtliche Prüfung aller HOCH-Schweregrad-Punkte planen. Vierteljährlichen Compliance-Review-Rhythmus nach Unterzeichnung etablieren.

Bewertungen

Durchschnitt Vorher
1.5/5
Durchschnitt Nachher
5/5
Verbesserung
+233%
Zielausrichtung25MOKontextangemessenheit15MTVKlarheit25IVSystematische Iteration15E
Vor MOTIVE (1-5)
Nach MOTIVE (1-5)

Wichtigste Verbesserung

Die Tool-Komponente erzeugte die größte Qualitätsverbesserung durch die Spezifikation der ICO-DSFA-Methodik und EDPB-Leitlinien — generische Compliance-Beratung wurde durch jurisdiktionsspezifische, artikelgenaue Regulierungsanalyse ersetzt.

Weiter
Einen 12-wöchigen Lehrplan auf Masterniveau für verantwortungsvolle KI-Governance entwerfen