DSGVO Datenschutz-Folgenabschätzung

Mit der EU-Datenschutz-Grundverordnung wird das Instrument der Datenschutz-Folgenabschätzung (DSFA) eingeführt (Art. 35 EU-DSGVO). Dabei handelt es sich um die Pflicht für den Verantwortlichen, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen vorzunehmen und zu dokumentieren. Bei mehreren Verarbeitungsvorgängen kann die Untersuchung gebündelt vorgenommen werden.

Grundsätzlich ist die Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Darüber hinaus ist sie zwingend durchzuführen, wenn eines der in Art. 35 EU-DSGVO in Abs. 3 bestimmten Regelbeispiele vorliegt. Um die offen gehaltene Formulierung der grundsätzlichen Durchführungspflicht zu spezifizieren, werden die Aufsichtsbehörden eingebunden. In einem ersten Entwurf hat die Artikel-29-Datenschutzgruppe zehn Kriterien aufgestellt, die ein Indiz für ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person sind, wie etwa das Scoring/Profiling, Automatische-Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen, eine systematische Überwachung, die Verarbeitung besondere personenbezogene Daten, Daten, die in großem Umfang verarbeitet werden, das Zusammenführen/ Kombinieren von Daten, die durch unterschiedliche Prozesse gewonnen wurden, Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener, Einsatz neuer Technologien oder biometrischer Verfahren, Datentransfer in Länder außerhalb der EU/EWR, eine Datenverarbeitung, welche Betroffene an der Rechtsausübung hindern. Sollte ein Verarbeitungsvorgang nur eine dieser Kriterien erfüllen, ist eine Datenschutz-Folgenabschätzung nicht zwingend notwendig. Sind hingegen mehrere erfüllt, ist das Risiko für die Betroffenen erwartungsgemäß hoch und eine Datenschutz-Folgenabschätzung daher zwingend erforderlich. In Zweifelsfällen bei denen die Abgrenzung schwierig ist, sollte eine DSFA immer durchgeführt werden. Diese muss spätestens nach 3 Jahren wiederholt werden.

Zudem müssen Aufsichtsbehörden in ihrem Zuständigkeitsbereich eine Liste aufstellen und veröffentlichen, die Verarbeitungsvorgänge aufzeigt, bei denen eine Datenschutz-Folgenabschätzung zwingend durchgeführt werden muss (Positivlisten). Daneben steht es ihnen offen, auch eine Liste von Verarbeitungsvorgängen zu veröffentlichen, welche dieser explizit nicht bedürfen (Negativlisten). Sofern das Unternehmen einen Datenschutzbeauftragten benannt hat, ist dessen Rat bei der Durchführung der DSFA einzuholen. Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden sollen bleibt weitgehend offen. Erste Modelle orientieren sich an den Prüfungsschema von ISO-Normen oder dem Standard-Datenschutzmodell.