Eine Datenschutz-Folgenabschätzung (DSFA) ist erforderlich, wenn bei einer Ihrer Datenverarbeitungen ein hohes Risiko für die Freiheit und Rechte natürlicher Personen besteht.
DSFA - Datenschutz-Folgenabschätzung
Guidelines on Data Protection Impact Assessment by Article 29 Working Group, page 7, April 4, 2017. PDFInnerhalb der DSGVO müssen die für die Verarbeitung Verantwortlichen (= verantwortliche Person) den Schutz der von ihnen verarbeiteten personenbezogenen Daten sicherstellen. Wenn für eine Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten der natürlichen Personen besteht, dann müssen Sie eine Risikobewertung (=Datenschutz-Folgenabschätzung) für diese Verarbeitungstätigkeit vornehmen.
Innerhalb dieser DSFA muss eine Risikoanalyse mit Eintrittswahrscheinlichkeit und Auswirkung einer Datenschutzverletzung durchgeführt werden. Sie müssen Maßnahmen ergreifen, um die Wahrscheinlichkeit und die Auswirkungen zu reduzieren, so dass das Risiko der Verarbeitungsaktivitäten minimiert wird. Wenn nach Ergreifen dieser Maßnahmen immer noch ein hohes Risiko besteht, müssen Sie die Aufsichtsbehörden (DSB) informieren.
Die Artikel-29-Gruppe hat Leitlinien zur Durchführung einer DSFA veröffentlicht, eine Risiko-Folgenabschützung ist nicht für alle Verarbeitungstätigkeiten erforderlich. Eine DSFA kann auch mehrere ähnliche Vorgänge gleichzeitig bewerten.
In derselben Erklärung (2017, S. 9-11) hat die Artikel-29-Gruppe auch 9 Kriterien für Verarbeitungsvorgänge genannt, die zu einer Bewertung führen könnten, wenn mindestens zwei Kriterien erfüllt sind:
- Evaluierung oder Bewertung
- Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlicher signifikanter Wirkung
- Systematische Überwachung
- Sensible Daten oder Daten von sehr persönlicher Natur
- Daten werden in großem Umfang verarbeitet
- Matching oder Kombination von Datensätzen
- Daten zu gefährdeten Personen
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
- Verarbeitung an sich "verhindert, dass betroffene Personen ein Recht ausüben oder eine Dienstleistung oder einen Vertrag in Anspruch nehmen"
Beachten Sie auch, dass die DSFA vor dem ersten Start der Datenverarbeitungsaktivität oder -anwendung durchgeführt werden muss. Eine Datenschutz-Folgenabschützung ist eine nützliche Methode, um das Risiko und die Auswirkungen Ihrer Datenverarbeitung zu ermitteln und festzustellen, ob Ihre Aktivitäten der DSGVO entsprechen. (Artikel 35 DSGVO)