Susanne Esser

• Um den Schutz personenbezogener Daten europaweit sicherzustellen und den EU-Bürgern mehr Kontrolle über diese Daten zu geben, wurde am 25. Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft gesetzt. Der Kooperationspartner, die Raiffeisen-Landesbank Steiermark AG, ist aufgrund seiner Kerntätigkeit, welche die Verarbeitung von personenbezogenen Daten einschließt, von dieser Verordnung betroffen und zur konformen Umsetzung verpflichtet. Eine wesentliche Neuerung stellt die Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO dar, mit welcher sich die Verfasserin dieser Arbeit näher auseinandersetzt. Die Arbeit untersucht, wie ein Tool zur Durchführung von DSFAs für den Kooperationspartner konzipiert werden kann, um diesen hinsichtlich DSGVO-Konformität zu unterstützen. Für die Raiffeisen-Landesbank Steiermark AG ist die Klärung der Hauptfrage der Arbeit von großer Bedeutung, da sie aufgrund der DSGVO dazu verpflichtet ist, DSFAs kontinuierlich durchzuführen. Des Weiteren drohen hohe Strafen bei einer nicht ordnungsgemäßen Umsetzung der DSGVO, welche bei der Fälligkeit einen erheblichen Einfluss auf das Jahresergebnis hätten. Außerdem kann die nicht konforme Umsetzung der DSFA einen Reputationsschaden zur Folge haben. Mit Hilfe des Tools kann der Kooperationspartner die DSFAs in Zukunft effizienter durchführen. Dadurch können in weiterer Folge datenschutzrechtliche Sanktionen und damit verbundene Strafzahlungen vermieden werden. Zudem soll die Masterarbeit aufzeigen, welche TOP-5-Risiken in Bezug auf Datenschutz und Datensicherheit beim Kooperationspartner existieren und mit welchen Maßnahmen diese reduziert werden können. Der Aufbau der Masterarbeit unterteilt sich in einen Theorie- und einen Praxisteil. Im Theorieteil setzt sich die Verfasserin zu Beginn mit der DSGVO auseinander, um ein kohärentes Gesamtverständnis der Arbeit zum Thema DSFA zu ermöglichen. In weiterer Folge wird auf die Vorgehensweise bei der Durchführung von DSFAs eingegangen, um den bestmöglichen Aufbau des Tools sicherstellen zu können. Das nächste Kapitel soll den Datenschutz-Risikomanagementprozess näher beleuchten, da das Hauptaugenmerk der DSFA auf diesen gerichtet ist. Im Praxisteil der Masterarbeit wird zunächst die Vorgehensweise bei der Konzeption des Tools detailliert beschrieben. Danach wird erläutert, wie bei der Durchführung der einzelnen DSFAs in der Raiffeisen-Landesbank Steiermark vorgegangen wurde. Daran anknüpfend erfolgt eine Beschreibung der vorgenommenen Workshops und deren Ergebnisse für die sechs identifizierten Verarbeitungstätigkeiten. Auch der Workshop mit dem IT-Experten der Raiffeisen-Landesbank Steiermark AG findet Erwähnung. Abschließend werden die TOP-5-Risiken der Raiffeisen-Landesbank Steiermark AG aufgezeigt.
• In order to ensure the protection of personal data throughout Europe and to give EU citizens more control over these data, the General Data Protection Regulation (GDPR) came into force on 25 May 2018. The cooperation partner, Raiffeisen-Landesbank Steiermark AG, is affected by the GDPR and its compliant implementation due to its core activity, which includes the processing of personal data. A major innovation is the Data Protection Impact Assessment (DPIA) according to Art. 35 GDPR, with which the author deals with this work in more detail. The paper explores how to design a tool to conduct DPIAs for the collaborator to help them with GDPR compliance. For Raiffeisen-Landesbank Steiermark AG, the clarification of the main issue of the work is of great importance, because now there exists a legal obligation to continuously carry out a DPIA. Furthermore, severe penalties in the event of improper implementation of the GDPR, which would have a considerable influence on the annual result at maturity, are threatened. In addition, the non-compliant implementation of DPIAs may result in reputational damage. With the help of the tool, the cooperation partner can carry out the data protection impact assessments more efficiently in the future. As a result, data protection sanctions and related penalties can subsequently be avoided. Furthermore, the Master thesis shows which TOP 5 data protection and data security risks exist at the cooperation partner and how these can be reduced.The structure of the Master's thesis is divided into a theoretical and a practical part. In the theoretical part, the author starts with the GDPR to enable a coherent overall understanding of the work on the topic of DPIA. Subsequently, the procedure for the implementation of DPIAs will be discussed in order to ensure the best possible structure of the tool. The next chapter is intended to shed more light on the privacy risk management process, as DPIAs main focus is on it. In the practical part of the master thesis, the procedure for the conception of the tool is first described in detail. It then explains how the individual data protection impact assessments were conducted at Raiffeisen-Landesbank Steiermark. Then the workshops and their results for the six identified processing activities are described. The workshop with the IT expert of Raiffeisen-Landesbank Steiermark AG is also mentioned. Finally, the TOP 5 data protection and data security risks of Raiffeisen-Landesbank Steiermark AG are shown.