Die Datenschutzfolgeabschätzung, kurz DSFA, nach Art. 35 DSGVO ist für alle Unternehmen und Behörden verpflichtend, die Verarbeitungsprozesse einsetzen, die ein voraussichtlich hohes Risiko für den Betroffenen mit sich bringen.
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
(Art. 35 DSGVO Abs. 1)
Pflicht und Praxis der DSFA
In der Praxis stellt sich nicht selten heraus, dass auch ansonsten informierte und gut aufgestellte Unternehmen unsicher bezüglich der Einschätzung sind, welche Verarbeitungsprozesse eine DSFA nach Art. 35 erfordern oder nicht. Bislang liefern die Veröffentlichungen der Behörden hierzu Anhaltspunkte, die jedoch keine qualifizierte Vorprüfung durch den eingesetzten Datenschutzbeauftragten, sofern vorhanden, ersetzen können. Diese Vorprüfung ist grundsätzlich verpflichtend, das Ergebnis ist zu verschriftlichen.
Die DSFA Muss-Liste
Einen ersten Anhaltspunkt liefert die DSFA Muss-Liste der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Verarbeitungsprozesse, die hier gelistet sind, erfordern auf jeden Fall eine DSFA. Die Muss-Liste enthält eine maßgebliche Beschreibung der Verarbeitungstätigkeiten für die auf jeden Fall eine DSFA zu erstellen ist, sowie typische Einsatzfelder und Beispiele. Die Liste ist nicht abschließend, auch ohne Nennung auf der Liste können eine oder mehrere Verarbeitungen einer Pflicht zur DSFA unterliegen.
Kriterien der Leitlinie im WP 248 der Art. 29 Gruppe
Die WP 29 Gruppe hat mit dem Working Paper 248 Kriterien für die Prüfung der Frage, ob eine DSFA erforderlich ist, vorgelegt. Das Papier enthält folgende Punkte:
- Bewerten oder Einstufen (Erstellen von Profilen und Prognosen)
- Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
- Systematische Überwachung
- Vertrauliche oder höchst persönliche Daten
- Datenverarbeitung in großem Umfang
- Abgleichen oder Zusammenführung von Datensätzen
- Daten zu schutzbedürftigen Betroffenen
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
- Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrages gehindert
Treffen zwei oder mehr Punkte des Kriterienkatalogs der Gruppe 29 zu, so muss eine DSFA erstellt werden. Eine DSFA kann aber auch bei Vorliegen nur eines der genannten Kriterien erforderlich werden.
Ob eine Datenschutzfolgeabschätzung
erforderlich ist, können Sie anhand unserer Online-Bewertung unter
https://umfragen.prisecon.de/index.php/648693?lang=de
prüfen. Das Assessment wird anonymisiert durchgeführt, das Ergebnis im Anschluss an die Auswertung Ihnen direkt angezeigt.
Durchführung einer DSFA
Es empfiehlt sich, den bestellten Datenschutzbeauftragten frühzeitig in die Prüfung auf eine DSFA-Erfordernis einzubeziehen. Durchzuführen ist eine DSFA durch ein DSFA-Team unter Beteiligung des DSB. Die Leitung eines DSFA Teams sollte in der Hand eines hierfür qualifizierten Mitarbeiters oder externen Beraters liegen. Dieser sollte neben juristischen auch über technisch-organisatorische Qualifikationen verfügen. Werden wir mit der Leitung und Unterstützung bei der Durchführung einer DSFA beauftragt, so liegt die Leitung eines DSFA-Teams in der Hand eines promovierten Volljuristen und Wirtschaftsinformatikers. Je nach Verarbeitung müssen ggf. auch Auftragsverarbeiter nach Art. 28 in den DSFA-Prozess einbezogen werden.
Eine DSFA ist nicht als einmalige Maßnahme, sondern als Prozess nach dem PDCA-Zyklus zu verstehen. Angeregte Maßnahmen müssen umgesetzt und nach der Realisierung auf ihre Wirksamkeit geprüft werden.
Sie haben Fragen zum Thema? Gern stehen wir Ihnen unter den angebotenen Kontaktmöglichkeiten zur Verfügung.