Hauptinhalt

Datenschutz-Folgenabschätzung

Waage © Fotolia

Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen. Deswegen sieht die Datenschutz-Grundverordnung unabhängig von sonstigen Voraussetzungen für die Verarbeitung personenbezogener Daten vor, dass durch geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen) diese Risiken eingedämmt werden. Die Datenschutz-Folgenabschätzung stellt eine der wichtigsten Neuerungen der Datenschutz-Grundverordnung dar. Rechtzeitig auf den Weg gebracht hilft sie nicht nur, die eigenen Prozesse bei der Verarbeitung personenbezogener Daten besser zu verstehen, sondern auch die Pflichten nach der Datenschutz-Grundverordnung umzusetzen.

Weitere Informationen sind in folgenden Publikationen enthalten:

Kurzpapier Nr. 5 der Datenschutzkonferenz „Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO“

Bayrisches Landesamt für Datenschutzaufsicht, XVIII Datenschutz-Folgenabschätzung (DSFA) – Art. 35 DS_GVO

Leitlinien der Artikel 29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt"

Was ist eine Datenschutz-Folgenabschätzung nach der Datenschutz-Grundverordnung?

Eine Datenschutz-Folgenabschätzung ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Artikel 35 Absatz 1, 7 Datenschutz-Grundverordnung sowie die Erwägungsgründe 84, 90).

Eine Datenschutz-Folgenabschätzung bezieht sich auf einzelne, konkrete Verarbeitungsvorgänge. Unter Verarbeitungsvorgängen ist die Summe von Daten, Systemen (Hard- und Software) und Prozessen zu verstehen.

Sofern mehrere ähnliche Verarbeitungsvorgänge voraussichtlich ein ähnliches Risiko aufweisen, können diese zusammen bewertet werden (Artikel 35 Absatz 1 Datenschutz-Grundverordnung). Ähnliche Risiken können beispielsweise dann gegeben sein, wenn ähnliche Technologien zur Verarbeitung vergleichbarer Daten (-kategorien) zu gleichen Zwecken eingesetzt werden (vgl. auch Erwägungsgrund 92 Datenschutz-Grundverordnung). Bei einer gemeinsamen Bewertung von ähnlichen Verarbeitungsvorgängen sind die im Folgenden dargestellten Vorgehensweisen ggf. anzupassen.

zurück zum Seitenanfang