Datenschutzfolgenabschätzung

Aus Datenschutz
Zur Navigation springen Zur Suche springen

Wann braucht man eine Datenschutzfolgeabschätzung?

Bei neuen Verfahren sind Art, Umfang, Umstände und Zweck der Verarbeitung darauf zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Datenschutzfolgenabschätzung, DSFA). Dabei kann eine Abschätzung für mehrere ähnliche Verfahren vorgenommen werden. Der Rat des Datenschutzbeauftragten ist dabei einzuholen.

Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn

  • natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
  • das Rechtsfolgen für diese Personen haben könnte oder
  • große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
  • öffentliche Bereiche systematisch überwacht werden sollen

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.

Was steht in einer Datenschutzfolgenabschätzung?

Eine DSFA enthält wenigstens

  • eine Beschreibung der geplanten Verarbeitungsvorgänge
  • eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
  • eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
  • Abhilfemaßnahmen, die die Risiken minimieren

Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren .

Eine DSFA soll nach nordrhein-westfälischem Recht nicht durchgeführt werden, wenn eine Verarbeitung von einer obersten Landesbehörde bereits durchgeführt wurde. Dabei muss die geprüfte Verarbeitung im Wesentlichen unverändert übernommen werden . Diese Landesbehörden können den öffentlichen Stellen die Ergebnisse zur Verfügung stellen.

Entwickelt eine öffentliche Stelle selbst ein Verfahren (Programmierung, Prozessplanung, Formulare), kann sie eine DSFA selbst durchführen. Übernehmende Behörden müssen das dann ebenfalls nicht mehr tun.

Muster einer Datenschutzfolgenabschätzung

Die nachstehend beschriebene Verarbeitung hat voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge. Es wird daher vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchgeführt.

⬜ Der Rat des Datenschutzbeauftragten wurde vorschriftsgemäß eingeholt.

Auslöser dieser Einschätzung ist

⬜ eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatische Verarbeitung gründet und die eine Rechtswirkung gegenüber natürlichen Personen entfaltet

⬜ eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 EU-DSGVO 

⬜ eine systematische Überwachung öffentlich zugänglicher Bereiche

Systematische Beschreibung der geplanten Verarbeitungsvorgänge:

___________________________________________________________________________

Bewertung von Notwendigkeit und Verhältnismäßigkeit:

___________________________________________________________________________

Bewertung der Risiken für Rechte und Freiheit natürlicher Personen:

___________________________________________________________________________

Abhilfemaßnahmen zur Bewältigung dieser Risiken:

___________________________________________________________________________