Datenschutzfolgenabschätzung

Aus Datenschutz
Version vom 5. Mai 2022, 12:29 Uhr von Admin (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

In einer Datenschutzfolgenabschätzung (Rechtsquellen: Art. 35, EWG 84, 89-93, z. B. §24 DSG NW, hier mal DSFA abgekürzt) schätzen Sie die Folgen einer Verarbeitung für den Datenschutz ab. Eine DSFA kann grundsätzlich immer gemacht werden. Sie ist aber manchmal auch Pflicht (und muss dann auch vorzeigbar sein).

Eine DSFA ist Pflicht, wenn Sie

  • Daten automatisch bewerten wollen (z. B. "Scoring", also das Einsortieren der Kreditwürdigkeit von Bewohnern nach Stadtteil)
  • umfangreich personenbezogene Daten besonderer Kategorie verarbeiten wollen (Gesundheitsdatenbanken, Mitgliederlisten von Parteien etc.)
  • Personen systematisch überwachen wollen (also z. B. schon, wenn Sie eine Kamera auf den Marktplatz stellen)

Eine solche DSFA enthält wenigstens die folgenden Punkte

  • die Verarbeitungsvorgänge, deren Folgen abgeschätzt werden sollen (Was haben Sie genau vor?)
  • eine Gegenüberstellung von Notwendigkeit und Verhältnismäßigkeit in Bezug zum Zweck (Ist das angemessen?)
  • eine Abwägung der Risiken, die für die betroffenen Personen entstehen könnten (Was kann schlimmstenfalls passieren?)
  • und Abhilfen, die diese Risiken minimieren (Was tun Sie dagegen?)

Bei neuen Verfahren sind Art, Umfang, Umstände und Zweck der Verarbeitung darauf zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht (Datenschutzfolgenabschätzung, DSFA). Dabei kann eine Abschätzung für mehrere ähnliche Verfahren vorgenommen werden. Der Rat des Datenschutzbeauftragten ist dabei einzuholen.

Erforderlich ist eine DSFA nach Artikel 35 Abs. 3, wenn

  • natürliche Personen durch Profiling oder automatisierte Verarbeitung eingeschätzt werden und
  • das Rechtsfolgen für diese Personen haben könnte oder
  • große Mengen besonderer personenbezogener Daten verarbeitet werden sollen oder
  • öffentliche Bereiche systematisch überwacht werden sollen

Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist und veröffentlicht diese. Sie kann auch eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine DSFA notwendig ist.


Eine DSFA enthält wenigstens

  • eine Beschreibung der geplanten Verarbeitungsvorgänge
  • eine Bewertung der Verhältnismäßigkeit und Notwendigkeit in Bezug auf den Zweck
  • eine Bewertung der Risiken für Rechte und Freiheiten der Betroffenen
  • Abhilfemaßnahmen, die die Risiken minimieren

Der Standpunkt betroffener Personen kann eingeholt werden. Die Abhilfemaßnahmen einer DSFA sind erforderlichenfalls zu kontrollieren, besonders wenn Änderungen eingetreten sind. Hat die DSFA ergeben, dass die Verarbeitung ein hohes Risiko birgt, kann der Verantwortliche die Aufsichtsbehörde konsultieren .

Eine DSFA soll nach nordrhein-westfälischem Recht nicht durchgeführt werden, wenn eine Verarbeitung von einer obersten Landesbehörde bereits durchgeführt wurde. Dabei muss die geprüfte Verarbeitung im Wesentlichen unverändert übernommen werden . Diese Landesbehörden können den öffentlichen Stellen die Ergebnisse zur Verfügung stellen.

Entwickelt eine öffentliche Stelle selbst ein Verfahren (Programmierung, Prozessplanung, Formulare), kann sie eine DSFA selbst durchführen. Übernehmende Behörden müssen das dann ebenfalls nicht mehr tun.

Marktplatz (Symbolbild)

Muster einer Datenschutzfolgenabschätzung

Die nachstehend beschriebene Verarbeitung hat voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge. Es wird daher vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durchgeführt.

⬜ Der Rat des Datenschutzbeauftragten wurde vorschriftsgemäß eingeholt.

Auslöser dieser Einschätzung ist

⬜ eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatische Verarbeitung gründet und die eine Rechtswirkung gegenüber natürlichen Personen entfaltet

⬜ eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 EU-DSGVO 

⬜ eine systematische Überwachung öffentlich zugänglicher Bereiche

Systematische Beschreibung der geplanten Verarbeitungsvorgänge:

___________________________________________________________________________

Bewertung von Notwendigkeit und Verhältnismäßigkeit:

___________________________________________________________________________

Bewertung der Risiken für Rechte und Freiheit natürlicher Personen:

___________________________________________________________________________

Abhilfemaßnahmen zur Bewältigung dieser Risiken:

___________________________________________________________________________

Weitere Informationen