Datenschutz-Folgenabschätzung: Ein Überblick

Gemäß Art. 35 DSGVO ist eine Folgenabschätzung für alle Verarbeitungsvorgänge anzuwenden, bei denen erwartungsgemäß ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Betroffen von der DSFA sind vor allem Unternehmen, die im großen Umfang vertrauliche oder höchst persönliche Daten verarbeiten. Dazu gehören beispielsweiße Gesundheitsdaten, Daten, die eine persönliche politische oder sexuelle Einstellung verraten. Die deutschen Datenschutzaufsichtsbehörden haben eine Liste von Verarbeitungstätigkeiten veröffentlicht, die zwingend eine DSFA nach sich ziehen. Das bedeutet jedoch nicht, dass alle anderen Verarbeitungen keine DSFA nach sich ziehen. Hier gilt, dass der Verantwortliche abwägen muss, wie hoch das Risiko für den Betroffenen ist.

Was ist eine Datenschutz-Folgenabschätzung?

Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) nicht nur in Deutschland, sondern in allen Mitgliedstaaten der Europäischen Union unmittelbar anzuwenden. Die DSGVO sieht in Art. 35 vor, dass bei Vorliegen bestimmter Voraussetzungen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist.

Die DFSA ist ein Mittel zur Identifizierung und Bewertung von Risiken, die sich insbesondere bei Verwendung neuer Technologien ergeben. Diese sollen durch geeignete und wirksame Maßnahmen eingedämmt werden können, um eine Vereinbarkeit mit der DSGVO zu gewährleisten.

Gegenstand der DSFA ist die Rechtmäßigkeit des geplanten Verarbeitungsverfahrens.

Art. 35 Abs. 7 DSGVO beschreibt vier Mindestbestandteile einer Datenschutz-Folgenabschätzung. Dazu gehören die systematische Darstellung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung sowie die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck und der Risiken für die Rechte und Freiheiten der betroffenen Personen. Außerdem sollen die Abhilfemaßnahmen dargestellt werden, die zur Bewältigung der Risiken geplant sind.

Für den Fall, dass ein Datenschutzbeauftragter benannt wurde, ist der Verantwortliche gem. Art. 35 Abs. 2 DSGVO dazu verpflichtet, bei der Durchführung einer Datenschutz-Folgenabschätzung dessen Rat einzuholen. Zusätzlich muss er gem. Art. 35 Abs. 9 DSGVO den Standpunkt der betroffenen Personen oder ihrer Vertreter einholen. Hierunter fallen z.B. Verbraucherschutzverbände.

Wann ist die Durchführung einer Datenschutz-Folgenabschätzung notwendig?

Die DSGVO sieht in Art. 35 vor, dass die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) dann notwendig ist, wenn ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Ein besonders hohes Risiko besteht zum Beispiel bei der personenbezogenen Verarbeitung von Gesundheitsdaten durch Arztpraxen, Krankenhäuser oder Krankenkassen. Auch bei Betrieb von Dating- und Kontaktportalen, bei Betrieb von großen sozialen Netzwerken oder Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden, besteht besonders hohes Risiko.

Art. 35 Abs. 3 DSGVO enthält drei Regelbeispiele, bei deren Vorliegen die Durchführung einer Datenschutz-Folgenabschätzung zwingend erforderlich ist.

Im Einzelnen ist dies der Fall bei der systematischen und umfassenden Erfassung vertraulicher oder höchst persönlicher Daten natürlicher Personen, bei automatisierten Einzelentscheidungen einschließlich Profiling und Scoring, der umfangreichen Verarbeitung sensibler Daten und der umfangreichen systematischen Überwachung öffentlich zugänglicher Bereiche.

Eine Datenschutz-Folgenabschätzung ist gem. Art. 35 Abs. 4 DSGVO ferner bei den Verarbeitungsvorgängen, die von der Aufsichtsbehörde in eine entsprechende Liste aufgenommen wurden, durchzuführen. Diese Liste lässt sich zum Beispiel bei der Landesdatenschutzbehörde Baden-Württemberg herunterladen.

Ist nach dem Ergebnis einer Datenschutz-Folgenabschätzung das Risiko einer geplanten Datenverarbeitung nicht unter die Schwelle des hohen Risikos zu senken, ist es gem. Art. 36 Abs. 1 DSGVO erforderlich, vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren.

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service