Mit Geltung der DSGVO wurde die Datenschutzfolgenabschätzung (DSFA) eingeführt (Artikel 35 DSGVO). Vergleichbar ist das Instrument mit der vorher nach altem Recht geltenden Vorabkontrolle nach § 4d Absatz 5 BDSG a.F., die aber in der deutschen Praxis keine wirklich wichtige Rolle gespielt hatte.
Nach Artikel 35 DSGVO ist eine solche DSFA immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.
Was ist die Idee?
Der Gedanke dahinter ist, dass der Verantwortliche in bestimmten Risikofällen vorher abwägen soll, was er da für eine neue Datenverarbeitung plant und, welche Folgen diese ganz konkret für die Betroffenen haben kann.
Und was das Problem?
Das Problem mit der DSFA: viele wissen nicht, dass sie eine DSFA brauchen. Und, wenn sie es wissen, dann wissen sie oft nicht, wie genau eine solche DSFA aussehen muss.
Nach Aussage der niedersächsischen Landesdatenschutzbeauftragten Thiel ist bei der Auswertung ihrer Fragebögen an 50 befragte Unternehmen insbesondere aufgefallen, dass keine oder nur unzureichende Datenschutzfolgenabschätzungen erfolgt sind.
Blacklists beachten
Die Datenschutzbehörden haben mittlerweile nach und nach die nach DSGVO zu erstellenden Blacklists veröffentlicht. Darin sollte jeder Verantwortliche nachschauen, wann die Aufsichtsbehörden auf jeden Fall die Durchführung einer Datenschutzfolgenabschätzung verlangen. Aber Vorsicht: Taucht Ihre geplante Datenverarbeitung dort nicht auf, heißt das nicht, dass Sie keine DSFA brauchen. Die Prüfung nach Artikel 35 DSGVO muss in jedem Fall eigenständig durchgeführt werden. Und wird die Pflicht zur Abschätzung bejaht, muss sie auch durchgeführt werden.
Die Aufsichtsbehörden werden bei ihren Prüfungen mit Sicherheit einen Schwerpunkt bei der Datenschutzfolgenabschätzung setzen.
Den kompletten Beitrag können Sie hier nachlesen.
Sie sind sich nicht sicher, ob Sie eine DSFA brauchen? Sie wissen nicht, wie Sie eine taugliche DSFA durchführen? Rufen Sie mich an oder schreiben Sie mir eine Mail. Ich unterstütze Sie gerne.
Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht
Urheberangabe für das Foto für diesen Beitrag:
- DSGVO is the German abbreviation for general data protection regulation GDPR: Axel Bueckert - 123rf.com