Close
Risikoeindämmung durch Datenschutz-Folgenabschätzung (DSFA)

Jana Zeidler
Rechtsanwältin

Datenschutz
|

Risikoeindämmung durch Datenschutz-Folgenabschätzung (DSFA)

Durch die Verarbeitung von Daten entstehen regelmäßig Risiken unterschiedlicher Schwere für die Betroffenen. Ziel ist es, diese Risiken durch geeignete Abhilfemaßnahmen möglichst einzudämmen. Hierfür ist es jedoch unabdingbar, dass die etwaigen Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten zunächst als solche identifiziert werden, um abschätzen zu können, ob mit der Datenverarbeitung hohe Risiken einhergehen.

Nur wenn der Verantwortliche nach Abschätzung der Risiken der Verarbeitungsvorgänge zu dem Schluss kommt, dass diese ein hohes Risiko aufweisen, ist eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen. Ähnliche Verarbeitungsvorgänge, beispielsweise bei Einsatz vergleichbarer Technologien zur Verarbeitung vergleichbarer Datenkategorien zu gleichen Zwecken, können zusammen bewertet werden. Die Entscheidung über die (Nicht-) Durchführung der DSFA ist schriftlich im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang. Eine einmal durchgeführte DSFA ist stetig einer Prüfung zu unterziehen, ob sich ggf. neue Risiken ergeben haben oder Verfahrensänderungen eingetreten sind, welche bislang bei der DSFA noch keine Berücksichtigung fanden. Die fortlaufende Überwachung kann durch den Einsatz eines Datenschutz-Managementsystems sichergestellt werden.

Bei Unsicherheiten im Umgang mit hohen Restrisiken muss der Verantwortliche nach Art. 36 DS-GVO die zuständige Aufsichtsbehörde kontaktieren, die Empfehlungen ausspricht, welche zusätzlichen Abhilfemaßnahmen ggf. eingesetzt werden können.

Praxistipp:

Eine Orientierungshilfe, wann voraussichtlich ein „hohes Risiko“ i.S.d. Art. 35 Abs. 1 DS-GVO gegeben ist, findet sich in Art. 35 Abs. 3 DS-GVO. Zudem veröffentlichen die Datenschutzbehörden aufbauend auf die Leitlinien der Artikel-29-Datenschutzgruppe eine nicht-abschließende Liste mit Verarbeitungstätigkeiten, die eine DSFA erforderlich machen.

Da eine DSFA grundsätzlich vor der jeweiligen Verarbeitungstätigkeit durchgeführt werden muss und diese nicht ad hoc in kurzer Zeit erstellt werden kann, sollten Sie als Verantwortlicher hierfür entsprechend Zeit einplanen.

2018.05.18-Risikoeindämmung-durch-DSFA.pdf (42 Downloads)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Close