Datenschutzfolgenabschätzung (abgekürzt DSFA)… Was ist das schon wieder? Nun, mit der Datenschutzfolgenabschätzung sollen sensible Datenverarbeitungen und deren Risiko für betroffene Personen vorab und im Detail beschrieben, bewertet und eingedämmt werden. Da das ziemlich viel auf einmal ist, hilft bei der Durchführung der Datenschutzbeauftragte. Erfahrungsgemäß wird das Thema Datenschutzfolgenabschätzung in Unternehmen eher vernachlässigt und als nice to have abgetan, obwohl es eine gesetzliche Anforderung gemäß Art. 35 DSGVO ist.
Wann ist eine Datenschutzfolgenabschätzung durchzuführen?
Eine Datenschutzfolgenabschätzung ist für Prozesse durchzuführen, die für die betroffene Person ein hohes Risiko darstellen. Das umfasst insbesondere Prozesse, bei denen neue Technologien zum Einsatz kommen.
Hierfür gibt die DSGVO Beispiele vor, die allerdings immer noch nicht wirklich konkret werden. Demnach ist eine Datenschutzfolgenabschätzung in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche
Hilfreicher ist die sogenannte abgestimmte Positivliste der Datenschutzkonferenz. Diese gibt konkrete Situationen vor, in denen eine Datenschutzfolgenabschätzung notwendig ist, zum Beispiel:
- Schulkantine bietet den Schülern das „Bezahlen per Fingerabdruck“ an
- Klinik setzt DNA-Tests zur Früherkennung vererblicher Krankheiten bei Neugeborenen ein
- Unternehmen verarbeitet die GPS-, Bluetooth- und/oder Mobilfunksignale von Passanten und Kunden, um die Laufwege und das Einkaufsverhalten nachverfolgen zu können
Die Liste ist natürlich auf Grund des stetigen, technischen Wandels nicht abschließend.
Wie wird eine Datenschutzfolgenabschätzung durchgeführt?
Die DSGVO gibt zumindest einen groben Fahrplan vor, welche Bestandteile eine Datenschutzfolgenabschätzung beinhalten muss:
- systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
- Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren
Detailiertere Informationen zur Umsetzung einer Datenschutzfolgenabschätzung finden sich im Kurzpapier der DSK.