Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutz-Grundverordnung

Die Datenschutz-Folgenabschätzung (DSFA) ist das zentrale und verpflichtende Instrument zur Risikobewertung von Datenverarbeitungsvorgängen. Mit der DSFA sollen datenschutzrechtliche Gefahren frühzeitig zu erkennen und angemessene Maßnahmen zu ihrer Verringerung getroffen werden.

Was ist eine Datenschutz-Folgenabschätzung?

Die DSFA ist die zentrale Maßnahme des risikobasierten Ansatzes der DSGVO. Unternehmen müssen für jede Verarbeitung personenbezogener Daten prüfen, ob diese hohe Risiken für die Rechte und Freiheiten der Betroffenen hat. Für Verfahren, bei denen das der Fall ist, wird dann die eigentliche DSFA durchgeführt; eine detaillierte Beschreibung und Bewertung der datenschutzrechtlichen Risiken. Das Hauptziel der DSFA ist es, besondere Risiken für die Rechte und Freiheiten von Betroffenen zu bewerten und angemessene Schutzmaßnahmen zu treffen.

Wann ist eine DSFA durchzuführen?

Die DSGVO sieht vor, dass eine DSFA immer dann durchgeführt werden muss, wenn Datenverarbeitungsprozesse, insbesondere unter Einsatz neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten von Personen bedeuten. Artikel 35 DSGVO enthält zudem Regelbeispiele, die die Durchführung einer DSFA verpflichtend machen, wie zum Beispiel die systematische und umfassende Bewertung persönlicher Aspekte oder die Verarbeitung besonderer Datenkategorien. Zudem haben Aufsichtsbehörden sogenannte Positivlisten veröffentlicht, die Verarbeitungsvorgänge enthalten, für die eine DSFA zwingend erforderlich ist.

Wie führt man eine DSFA durch?

Für die richtige Umsetzung gesetzlicher Anforderungen zur Durchführung einer DSFA ist es von entscheidender Bedeutung, Datenverarbeitungsvorgänge, die potenzielle Gefahren bergen, zu identifizieren und dann gründlich zu prüfen. Die DSGVO legt Mindestanforderungen für den Inhalt einer DSFA fest. Dazu gehören eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit sowie eine Risikobewertung für die betroffenen Personen. Darüber hinaus müssen Unternehmen Maßnahmen zur Risikominderung und zur Gewährleistung des Datenschutzes festlegen und den Rat des Datenschutzbeauftragten einholen. Wenn nach der DSFA immer noch ein hohes Risiko besteht, muss sogar eine Konsultation der Datenschutzbehörde erfolgen.

Fazit

Die DSFA ist ein gesetzliche Pflicht und ein essenzielles Instrument, um datenschutzrechtliche Risiken bei der Einführung neuer Prozesse oder Technologien in Unternehmen zu bewerten und zu mindern. Das dient zum einen dem Schutz der Betroffenen, aber auch dem Schutz Ihres Unternehmens. Insbesondere in Zeiten der Digitalisierung und der Einführung neuer Technologien ist es für Unternehmen unerlässlich, sich mit den potenziellen Risiken und den notwendigen Schutzmaßnahmen auseinanderzusetzen.

Weitere Beiträge