Mit der EU-Datenschutz-Grundverordnung wird das Instrument der Datenschutz-Folgenabschätzung (DSFA) eingeführt (Art. 35 EU-DSGVO). Dabei handelt es sich um die Pflicht für den Verantwortlichen, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen vorzunehmen und zu dokumentieren. Bei mehreren Verarbeitungsvorgängen kann die Untersuchung gebündelt vorgenommen werden.
Grundsätzlich ist die Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Darüber hinaus ist sie zwingend durchzuführen, wenn eines der in Art. 35 EU-DSGVO in Abs. 3 bestimmten Regelbeispiele vorliegt. Um die offen gehaltene Formulierung der grundsätzlichen Durchführungspflicht zu spezifizieren, werden die Aufsichtsbehörden eingebunden. In einem ersten Entwurf hat die Artikel-29-Datenschutzgruppe zehn Kriterien aufgestellt, die ein Indiz für ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person sind, wie etwa das Scoring/Profiling, Automatische-Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen, eine systematische Überwachung, die Verarbeitung besondere personenbezogene Daten, Daten, die in großem Umfang verarbeitet werden, das Zusammenführen/ Kombinieren von Daten, die durch unterschiedliche Prozesse gewonnen wurden, Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener, Einsatz neuer Technologien oder biometrischer Verfahren, Datentransfer in Länder außerhalb der EU/EWR, eine Datenverarbeitung, welche Betroffene an der Rechtsausübung hindern. Sollte ein Verarbeitungsvorgang nur eine dieser Kriterien erfüllen, ist eine Datenschutz-Folgenabschätzung nicht zwingend notwendig. Sind hingegen mehrere erfüllt, ist das Risiko für die Betroffenen erwartungsgemäß hoch und eine Datenschutz-Folgenabschätzung daher zwingend erforderlich. In Zweifelsfällen bei denen die Abgrenzung schwierig ist, sollte eine DSFA immer durchgeführt werden. Diese muss spätestens nach 3 Jahren wiederholt werden.
Zudem müssen Aufsichtsbehörden in ihrem Zuständigkeitsbereich eine Liste aufstellen und veröffentlichen, die Verarbeitungsvorgänge aufzeigt, bei denen eine Datenschutz-Folgenabschätzung zwingend durchgeführt werden muss (Positivlisten). Daneben steht es ihnen offen, auch eine Liste von Verarbeitungsvorgängen zu veröffentlichen, welche dieser explizit nicht bedürfen (Negativlisten). Sofern das Unternehmen einen Datenschutzbeauftragten benannt hat, ist dessen Rat bei der Durchführung der DSFA einzuholen. Wie und nach welchen Kriterien die Folgen und Risiken für Betroffene abgeschätzt werden sollen bleibt weitgehend offen. Erste Modelle orientieren sich an den Prüfungsschema von ISO-Normen oder dem Standard-Datenschutzmodell.
Passende Artikel der DSGVO
Art. 5 DSGVO Grundsätze für die Verarbeitung personenbezogener Daten Art. 35 DSGVO Datenschutz-Folgenabschätzung Art. 36 DSGVO Vorherige Konsultation Art. 57 DSGVO AufgabenPassende Erwägungsgründe
(75) Risiken für die Rechte und Freiheiten natürlicher Personen (84) Risikoevaluierung und Folgenabschätzung (89) Entfall der generellen Meldepflicht (90) Datenschutz-Folgenabschätzung (91) Erforderlichkeit einer Datenschutz-Folgenabschätzung (92) Thematische Datenschutz-Folgenabschätzung (93) Datenschutz-Folgenabschätzung bei Behörden (94) Konsultierung der Aufsichtsbehörde (95) Unterstützung durch den Auftragsverarbeiter (96) Konsultierung der Aufsichtsbehörde im Zuge eines GesetzgebungsprozessesExterne Links
Behörden
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 5 – Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (Link)
- Datenschutzkonferenz DSK ► Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten natürlicher Personen (Link)
- Datenschutzkonferenz (DSK) ► DSFA „Muss-Liste“ (Link)
- Datenschutzbehörde Bayern ► Datenschutz-Folgenabschätzung (DSFA) – Art. 35 DS-GVO (Link)
- Datenschutzbehörde Rheinland-Pfalz ► Datenschutz-Folgenabschätzung (Link)
- Datenschutzbehörde Österreich ► Datenschutz-Grundverordnung Leitfaden – Datenschutz-Folgenabschätzung (Art. 35), Seite 29 (Link)
- Datenschutzbehörde Österreich ► Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V) (Link)
- EU-Kommission ► Wann ist eine Datenschutz-Folgenabschätzung erforderlich? (Link)
- Article 29 Data Protection Working Party ► WP 248 – Guidelines on Data Protection Impact Assessment (DPIA) (Link)
- European Data Protection Supervisor ► Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit (Link)
- Data Protection Authority UK ► Data protection impact assessments (Link)
- Data Protection Authority France ► PIA method and software (Link)
- Data Protection Authority Ireland ► Data Protection Impact Assessments (DPIA) (Link)
- Data Protection Authority Ireland ► List of Types of Data Processing Operations which require a DPIA (Link)
- Data Protection Authority Luxembourg ► Data Protection Impact Assessment (DPIA) (Link)
Fachbeiträge
- GDD ► Praxishilfe – Voraussetzungen der Datenschutz-Folgenabschätzung (Link)
- Bitkom ► Risk Assessment & Datenschutz-Folgenabschätzung (Link)
- Forum Privatheit ► White Paper Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz (Link)
- BvD-News ► Vorgehen bei Datenschutz-Folgenabschätzungen, Seite 41 (Link)
- Dr. Datenschutz ► Datenschutz-Folgenabschätzung (Link)