Was ist die Datenschutzfolgenabschätzung?
von Freya Wolfenstaedter
Bei der Verarbeitung von personenbezogenen Daten entstehen immer Risiken für die betroffenen Personen, auch wenn die Verarbeitung vollkommen rechtmäßig ist. Deswegen sieht die DSGVO vor, dass diese Risiken so weit wie möglich eingedämmt werden. Hierfür wird die Datenschutzfolgenabschätzung eingesetzt.
Die Datenschutzfolgenabschätzung (DSFA) wird zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen aufkommend bei der Verarbeitung von personenbezogenen Daten genutzt. Sie wird immer dann eingesetzt, wenn die Form der Verarbeitung auf Grund des Umfangs, der Umstände oder der Zwecke der Verarbeitung ein hohes Risiko zur Folge haben kann. In diesen Fällen werden die Risiken vom Datenschutzbeauftragten geprüft und es wird eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung abgegeben. Zusätzlich ist es das Ziel, das Risiko möglichst gering zu halten. Die DSFA bezieht sich hierbei auf einzelne Verarbeitungsvorgänge, worunter die Summe von Daten, Systemen und Prozessen zu verstehen sind.
Ab wann eine DSFA notwendig wird, ergibt sich aus der Abschätzung der Risiken der Verarbeitungsvorgänge. Weist ein Verarbeitungsvorgang ein potentiell hohes Risiko auf, ist eine DSFA notwendig. Im Art. 35 Abs. 3 DSGVO werden einige Faktoren benannt, die wahrscheinlich zu einem hohen Risiko führen. Zusätzlich wird durch die Datenschutzaufsichtsbehörden stetig eine Liste mit Verarbeitungstätigkeiten veröffentlicht, bei denen eine DSFA durchzuführen ist. Pauschal lässt sich die Frage also nicht klären, ob eine DSFA benötigt wird oder nicht, sondern hängt immer vom Einzelfall ab.
Die DSFA wird durchgeführt, bevor die Verarbeitungsvorgänge, die mit der DSFA betrachtet werden sollen, aufgenommen werden. Aus der DSGVO, insbesondere aus Art. 35, geht hervor, welche formellen Anforderungen an die DSFA gestellt werden. Bei der Wahl der Methode der Durchführung wird dem Verantwortlichen jedoch mehr Spielraum gelassen. Wichtig zu beachten ist, dass die DSFA kein einmaliger Vorgang ist, sondern mehr ein Kreislauf, da sich immer wieder neue Risiken ergeben oder sich Risikobewertungen verändern könnten, die bisher nicht berücksichtigt wurden. Die DSFA wird also ständig angepasst und überprüft.
Grob kann der Ablauf in vier Schritte zusammengefasst werden: Vorbereitung, Durchführung, Umsetzung und Überprüfung. Zunächst wird während der Vorbereitung ein Prüfplan erstellt, der Beurteilungsumfang festgelegt, die Rechtsgrundlagen identifiziert und die Notwendigkeit in Bezug auf den Zweck beurteilt. Anschließend wird während der Durchführung eine Risikobeurteilung durchgeführt und eine Auswahl an geeigneten Abhilfemaßnahmen getroffen, sowie der DSFA-Bericht erstellt. Danach werden in der Umsetzungsphase die Abhilfemaßnahmen umgesetzt und getestet. Darauf folgt die Überprüfungsphase. Dieser Verlauf ist nur beispielhaft. Jeder Einzelfall ist unterschiedlich und bedarf einer individuellen Herangehensweise.
Wir beantworten Ihnen gerne in Ihre Fragen bezüglich einer Datenschutzfolgenabschätzung und unterstützen Sie bei der Umsetzung.
Bildquelle: Hintergrund Foto erstellt von pressfoto