Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Auch bei einer rechtmäßigen Verarbeitung personen­bezogener Daten entstehen Risiken für die betroffenen Personen. Deswegen sieht die DS-GVO unabhängig von sonstigen Voraussetzungen für die Verarbeitung vor, dass durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen) diese Risiken eingedämmt werden. Das Instrument einer Datenschutz-Folgeabschätzung (DSFA) kann hierfür systematisch eingesetzt werden.
Eine DSFA ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personen­bezogener Daten. Die DSFA durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personen­bezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann.
Eine DSFA bezieht sich auf einzelne, konkrete Verarbei­tungsvorgänge. Unter Verarbei­tungs­vorgängen ist die Summe von Daten, Systemen (Hard- und Software) und Prozessen zu verstehen.
Ob eine DSFA durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbei­tungsvorgänge ("Schwellwertanalyse"). Ergibt diese ein voraussichtlich hohes Risiko, dann ist eine DSFA durchzuführen. Wird festgestellt, dass der Verarbei­tungsvorgang kein hohes Risiko aufweist, dann ist eine DSFA nicht zwingend erforderlich. In jedem Fall ist die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA mit Angabe der maßgeblichen Gründe für den konkreten Verarbei­tungsvorgang schriftlich zu dokumentieren.
Eine DSFA ist vor der Aufnahme der zu betrachtenden Verarbei­tungsvorgänge durchzuführen. Auch bereits bestehende Verarbei­tungsvorgänge können unter die Pflicht einer DSFA fallen. Da eine DSFA meist nicht ad hoc in wenigen Tagen erstgellt werden kann, muss sie rechtzeitig, beispielsweise unterstützt durch ein allgemeines Datenschutz-Managementsystem, auf den Weg gebracht werden.
Die DSFA ist ein sinnvolles Instrument zur systematischen Risikoeindämmung und stellt eine der wichtigsten Neuerungen der DS-GVO gegenüber dem BDSG dar. Rechtzeitig auf den Weg gebracht hilft sie nicht nur, die eigenen Prozesse bei der Verarbeitung personen­bezogener Daten besser zu verstehen, sondern auch die Pflichten nach der Grundverordnung umzusetzen.

Quelle und weitere Informationen, insbesondere zur Durchführung der DSFA: Kurzpapiere der Datenschutz­konferenz