Datenschutz-Folgenabschätzungen (DSFA) zielen darauf ab, potenzielle Risiken, die sich aus einer neuen Verarbeitungstätigkeit ergeben, zu bewerten, bevor diese tatsächlich stattfindet. Dank DSFA können eventuelle Datenschutzrisiken im Vorfeld erkannt werden.
Ein Verantwortlicher ist zur Durchführung einer DSFA verpflichtet, wenn seine Verarbeitungstätigkeiten ein hohes Risiko für die Rechte und Freiheiten des Einzelnen darstellen können. Ein solches hohes Risiko kann auftreten, wenn neue Technologien eingesetzt werden. Vor der Verarbeitung muss eine DSFA vorbereitet werden. Wenn der Verantwortliche den DSB benannt hat, muss er bei der Durchführung einer DSFA den Rat des DSB einholen.
Ein DSFA ist insbesondere in den folgenden Situationen erforderlich:
- eine systematische und umfassende Bewertung der persönlichen Aspekte von Personen auf der Grundlage einer automatisierten Verarbeitung (einschließlich Profilerstellung), auf der Entscheidungen beruhen, die Rechtswirkungen haben oder welche die Person in ähnlicher Weise erheblich beeinträchtigen
- Verarbeitung sensibler Daten in großem Umfang
- eine systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Maßstab
Die Mindestanforderungen an den Inhalt der DSFA:
- eine systematische Beschreibung der vorgesehenen Verarbeitungen und Zwecke der Verarbeitung, einschließlich des berechtigten Interesses des Verantwortlichen (falls zutreffend)
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungen in Bezug auf die Zwecke
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung der DSGVO unter Berücksichtigung der Rechte und berechtigten Interessen von Einzelpersonen und anderen betroffenen Personen
Die WP29 hat die Leitlinien für Folgenabschätzungen zur weiteren Klärung herausgegeben. Sie ist verfügbar unter: https://ec.europa.eu/newsroom/document.cfm?doc_id=44137.
Vorherige Konsultation
Wenn die Verarbeitungstätigkeiten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, muss zusätzlich zur DSFA, die intern in einem Unternehmen durchgeführt wurde, eine zuständige nationale Aufsichtsbehörde konsultiert werden.