Zu den Innovationen der Datenschutz-Grundverordnung gehört die Verpflichtung, in bestimmten Fällen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Geregelt wird die DSFA in Artikel 35 DSGVO.

Dessen Absatz 1 Satz 1 bestimmt, wann eine DSFA durchzuführen ist, nämlich wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Zusätzlich nennt Absatz 3 drei abstrakte Beispiele, in denen eine DSFA erforderlich sein soll:

beim sog. Profiling;
bei umfangreicher Verarbeitung von besonderen Kategorien personenbezogener Daten;
bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Zudem erstellen die Aufsichtsbehörden sog. Positivlisten, in denen Verarbeitungsvorgänge aufgeführt werden, für die eine DSFA durchzuführen ist. Die Positivliste der Datenschutzkonferenz finden Sie hier. Die DSGVO sieht zudem das Anfertigen von Negativlisten durch die Aufsichtsbehörden vor. Solche Negativlisten wurden von den deutschen Aufsichtsbehörden bisher jedoch nicht erstellt. Dies erschwert die Entscheidung, keine DSFA durchzuführen.

Zwingend durchzuführen ist eine Datenschutz-Folgenabschätzung, z.B.

bei biometrischen Systemen für den Gebäudezutritt,
bei der Geolokalisation von Beschäftigten,
bei Tracking von Kundenbewegungen oder dem Erfassen des Kaufverhaltens, oder
bei der zentralen Speicherung von Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind.

Wie erstelle ich eine Datenschutz-Folgenabschätzung?

Einen Hinweis, was eine DSFA mindestens enthalten muss, können Sie Artikel 35 Absatz 7 entnehmen. Danach gliedert sich die DSFA in vier Bestandteile:

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung;
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen.

Für die Erstellung einer DSFA können verschiedene Methoden zum Einsatz kommen. Denkbar ist zum Beispiel ein Rückgriff auf das Standard-Datenschutzmodell. Eine andere Möglichkeit ist der Rückgriff auf ISO/IEC 29134. Wir beraten Sie gerne, welcher Weg für Sie der Beste ist.