Datenschutz-Folgenabschätzung (DSFA)
Wann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist, wie sie methodisch durchgeführt wird und wann eine vorherige Konsultation der Aufsichtsbehörde notwendig ist.
Die Datenschutz-Folgenabschätzung (DSFA) ist ein strukturiertes Verfahren zur Bewertung und Minderung von Datenschutzrisiken bei besonders riskanten Verarbeitungsvorgängen. Art. 35 DSGVO verpflichtet Verantwortliche zur Durchführung einer DSFA, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Wann ist eine DSFA erforderlich?
Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, bei denen eine DSFA in der Regel erforderlich ist: systematische und umfassende Bewertung persönlicher Aspekte mit anschließend automatisierten Entscheidungen (einschließlich Profiling), umfangreiche Verarbeitung besonderer Datenkategorien oder Daten über strafrechtliche Verurteilungen sowie systematische weiträumige Überwachung öffentlich zugänglicher Bereiche. Darüber hinaus können Aufsichtsbehörden Positivlisten (Muss-DSFA) und Negativlisten (Keine-DSFA) veröffentlichen.
Inhalt und Durchfuehrung
Die DSFA muss mindestens vier Bestandteile enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und deren Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen sowie die geplanten Maßnahmen zur Bewältigung dieser Risiken. Einbezogen werden sollen, sofern vorhanden, die Ansichten von Betroffenen oder deren Vertretern.
Die Risikobeurteilung folgt typischerweise einer zweidimensionalen Matrix aus Eintrittswahrscheinlichkeit und Schwere des möglichen Schadens. Als Risikoszenarien werden insbesondere diskriminierende Entscheidungen, Identitätsdiebstahl, finanzielle Verluste und Rufschädigung berücksichtigt. Für jedes identifizierte Risiko sind Maßnahmen zur Risikominderung zu definieren und umzusetzen.
Konsultation der Aufsichtsbehoerde
Führt die DSFA zu dem Ergebnis, dass trotz aller Gegenmaßnahmen ein hohes Restrisiko verbleibt, ist nach Art. 36 DSGVO eine vorherige Konsultation der Aufsichtsbehörde erforderlich. Die Behörde hat dann bis zu acht Wochen Zeit, eine schriftliche Empfehlung abzugeben. Erst nach dieser Konsultation darf mit der Verarbeitung begonnen werden.
Erwägungsgrund 91 zur DSGVO betont, dass die DSFA insbesondere bei der Einführung neuer Technologien oder bei erheblichen Änderungen bestehender Prozesse durchgeführt werden sollte. Die DSFA ist zu dokumentieren und muss regelmäßig überprüft werden, um zu gewährleisten, dass die Verarbeitung weiterhin dem Ergebnis der Folgenabschätzung entspricht.