Gemäß Art. 35 DSGVO
ist eine Folgenabschätzung für alle Verarbeitungsvorgänge anzuwenden, bei denen
erwartungsgemäß ein hohes Risiko für die Rechte und Freiheiten natürlicher
Personen besteht. Betroffen von der DSFA sind vor allem Unternehmen, die im großen
Umfang vertrauliche oder höchst persönliche Daten verarbeiten. Dazu gehören
beispielsweiße Gesundheitsdaten, Daten, die eine persönliche politische oder
sexuelle Einstellung verraten. Die deutschen Datenschutzaufsichtsbehörden haben
eine Liste von Verarbeitungstätigkeiten veröffentlicht, die zwingend eine DSFA
nach sich ziehen. Das bedeutet jedoch nicht, dass alle anderen Verarbeitungen
keine DSFA nach sich ziehen. Hier gilt, dass der Verantwortliche abwägen muss,
wie hoch das Risiko für den Betroffenen ist.

Was ist eine Datenschutz-Folgenabschätzung?

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) nicht nur in Deutschland, sondern in allen Mitgliedstaaten der Europäischen Union unmittelbar anzuwenden. Die DSGVO sieht in Art. 35 vor, dass bei Vorliegen bestimmter Voraussetzungen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist.

Die DFSA ist ein Mittel zur Identifizierung und Bewertung von Risiken, die
sich insbesondere bei Verwendung neuer Technologien ergeben. Diese sollen durch
geeignete und wirksame Maßnahmen eingedämmt werden können, um eine
Vereinbarkeit mit der DSGVO zu gewährleisten.

Gegenstand der DSFA ist die Rechtmäßigkeit des geplanten Verarbeitungsverfahrens.

Art. 35 Abs. 7 DSGVO beschreibt vier Mindestbestandteile einer
Datenschutz-Folgenabschätzung. Dazu gehören die systematische Darstellung der
geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung sowie die
Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
in Bezug auf den Zweck und der Risiken für die Rechte und Freiheiten der
betroffenen Personen. Außerdem sollen die Abhilfemaßnahmen dargestellt werden,
die zur Bewältigung der Risiken geplant sind.

Für den Fall, dass ein Datenschutzbeauftragter benannt wurde, ist der Verantwortliche gem. Art. 35 Abs. 2 DSGVO dazu verpflichtet, bei der Durchführung einer Datenschutz-Folgenabschätzung dessen Rat einzuholen. Zusätzlich muss er gem. Art. 35 Abs. 9 DSGVO den Standpunkt der betroffenen Personen oder ihrer Vertreter einholen. Hierunter fallen z.B. Verbraucherschutzverbände.

Wann ist die Durchführung einer Datenschutz-Folgenabschätzung notwendig?

Die DSGVO sieht in Art. 35 vor, dass die Durchführung einer
Datenschutz-Folgenabschätzung (DSFA) dann notwendig ist, wenn ein
voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen
besteht.

Ein besonders hohes Risiko besteht zum Beispiel bei der personenbezogenen Verarbeitung von Gesundheitsdaten durch Arztpraxen, Krankenhäuser oder Krankenkassen. Auch bei Betrieb von Dating- und Kontaktportalen, bei Betrieb von großen sozialen Netzwerken oder Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden, besteht besonders hohes Risiko.

Art. 35 Abs. 3 DSGVO enthält drei Regelbeispiele, bei deren Vorliegen die
Durchführung einer Datenschutz-Folgenabschätzung zwingend erforderlich ist.

Im Einzelnen ist dies der Fall bei der systematischen und umfassenden
Erfassung vertraulicher oder höchst persönlicher Daten natürlicher Personen,
bei automatisierten Einzelentscheidungen einschließlich Profiling und Scoring,
der umfangreichen Verarbeitung sensibler Daten und der umfangreichen
systematischen Überwachung öffentlich zugänglicher Bereiche.

Eine Datenschutz-Folgenabschätzung ist gem. Art. 35 Abs. 4 DSGVO ferner bei den Verarbeitungsvorgängen, die von der Aufsichtsbehörde in eine entsprechende Liste aufgenommen wurden, durchzuführen. Diese Liste lässt sich zum Beispiel bei der Landesdatenschutzbehörde Baden-Württemberg herunterladen.

Ist nach dem Ergebnis einer Datenschutz-Folgenabschätzung das Risiko einer
geplanten Datenverarbeitung nicht unter die Schwelle des hohen Risikos zu
senken, ist es gem. Art. 36 Abs. 1 DSGVO erforderlich, vor der Verarbeitung die
zuständige Aufsichtsbehörde zu konsultieren.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München