DSFA - was ist das und wann muss sie durchgeführt werden?
Eine Datenschutz-Folgenabschätzung ist eine Risikoanalyse, die im Rahmen der Datenschutzgrundverordnung (DSGVO) durchgeführt werden muss. Sie dient dazu, potenzielle Risiken für die Rechte und Freiheiten von natürlichen Personen im Zusammenhang mit bestimmten Verarbeitungsvorgängen zu bewerten.
Laut Artikel 35 Abs. 1 DSGVO muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn
- eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Hierbei soll der Verantwortliche insbesondere die Eintrittswahrscheinlichkeit und die Schwere des möglichen Risikos hinsichtlich der Rechte und Freiheiten der betroffenen Personen bewerten.
Auch prüft er Maßnahmen und Verfahren, mit denen bestehende Risiken eingedämmt werden können.
Ergibt sich aus der Analyse ein hohes Risiko, so ist gemäß Art. 36 DSGVO die zuständige Aufsichtsbehörde zu Rate zu ziehen.
Ignoriert ein Verantwortlicher diese Pflicht und führt die Risikoabschätzung nicht durch, kann er mit hohen Bußgeldern belegt werden.
Kriterien für das “Muss eine Datenschutz-Folgenabschätzung durchzuführen” sind u.a.
- Einsatz neuer Technologien z.B. KI
- Neue Verarbeitungsschritte
- Sensibilität der Daten z.B. biometrische Daten oder Daten zur Gesundheit
- Profiling gemäß Art. 4 Nr. 4 DSGVO also jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten
- Öffentliche bzw. weiträumige Überwachung öffentlicher Bereiche insbesondere durch Videoanlagen
Hilfestellung, wann eine Datenschutz-Folgenabschätzung durchgeführt werden muss, bieten die “Muss-Listen zur Datenschutz-Folgenabschätzung” der Datenschutzaufsichtsbehörden an.
Sofern einen Datenschutzbeauftragten benannt hat, ist er bei der Durchführung der Datenschutz-Folgenabschätzung mit einzubeziehen.
Für eine Datenschutz-Folgenabschätzung ist eine Dokumentation unerlässlich und fällt Rechenschaftspflicht des Verantwortlichen.
Diese Dokumentation beinhaltet zumindest:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge mit dem Zweck zudem sie durchgeführt werden und welches Interesse seitens des Verantwortlichen hierzu besteht.
- Eine Verhältnismäßigkeitsprüfung – besteht die Notwendigkeit der angestrebten Verarbeitung in Bezug auf den verfolgten Zweck
- Eine Bewertung der zur Bewältigung geplanten Abhilfemaßnahmen, wie z.B. Sicherheitsvorkehrungen und Verfahren zum Schutz der personenbezogenen Daten
- Abschließende Risikobewertung
- Feststellung, ob die Aufsichtsbehörde gemäß Art. 36 DSGVO zu konsultieren ist.
In vielen Fällen wird es nicht ausreichen, die Datenschutz-Folgenabschätzung einmal vor der geplanten Datenverarbeitung vorzunehmen. In Fällen, in denen sich die Verarbeitung dynamisch entwickelt, wird die Datenschutz-Folgenabschätzung turnusmäßig erfolgen müssen. Eine Wiederholung einzelner Bewertungsschritten ist auch immer dann angesagt, wenn durch die Änderung von technischen oder organisatorischen Maßnahmen die Frage nach bestehenden Gefahren für die Rechte der betroffenen Personen neu gestellt werden muss.
Der Verantwortliche kann die Durchführung der Datenschutz-Folgenabschätzung auf einen Dritten übertragen, bleibt jedoch weiterhin für die Verantwortung und Einhaltung der Vorschriften verantwortlich.
Haben sie Fragen zum Thema Datenschutz-Folgenabschätzung oder benötigen Sie kompetente Hilfe bei der Durchführung, kontaktieren Sie uns. Wir haben langjährige Erfahrung und sind in puncto Datenschutz auf dem neuesten Stand.