Schnell & portofrei.
Alle Medien. Alle Verlage.

Detailsuche

Datenschutz-Folgenabschätzung (DSFA) - verstehen und anwenden!

Die DSFA ist mit flankierenden Erwägungsgründen in der DS-GVO abschließend geregelt und ein wichtiges Instrument zur Umsetzung des Privacy by Design-Grundsatzes. Sie wird immer dann relevant, wenn mit der Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen verbunden ist. Bei allen Alt- und auch kommenden Neuprojekten muss zumindest angeprüft werden, ob eine DSFA notwendig ist und durchgeführt werden muss.

von Barbara Schmitz / Jonas von Dall’Armi

Art. 35 Abs. 1 DS-GVO: »Riskante Datenverarbeitung«

  • Benötigt die Datenverarbeitung personenbezogene Daten?
    • Standard-Datenschutzmodell (SDM)
  • Stellt die Datenverarbeitung ein Risiko für den Betroffenen dar?
    • Risikokatalog in Erwägungsgrund 75 prüfen
  • Ist das Risiko hoch? Bewertungsmaßstäbe:
    • Eintrittswahrscheinlichkeit
    • Kontrollmaßnahmen
    • Minimierungsmaßnahmen

 

Art. 35 Abs. 3 DS-GVO: »Muss-DSFA-Fälle«

  • Soll mit dem geplanten Vorhaben eine rechtswirksame oder beeinträchtigende Entscheidung für natürliche Personen auf der Grundlage einer
    • automatisierten Datenverarbeitung, die
    • auf der Bewertung persönlicher Aspekte beruht, getroffen werden?
  • Sollen sensible Daten nach Art. 9 oder Art. 10 DS-GVO verarbeitet werden?
    • Achtung: Keine DSFA bei Patienten- und Mandatendaten, wenn die Verarbeitung durch den Arzt oder Rechtsanwalt erfolgt!
  • Ist eine opto-elektronische Vorrichtung Gegenstand des geplanten Vorhabens?

 

Praxishinweis: Art. 35 Abs. 4 – 6 DS-GVO »Positiv-/Negativ«-Liste der Aufsichtsbehörden

  • Es bleibt abzuwarten, ob und in welchem Umfang die Aufsichtsbehörden der Pflicht zur Erstellung einer Positiv-Liste nachkommen werden.
  • Nicht-Durchführen einer DSFA ist nach Art. 83 Abs. 4 lit. a DS-GVO bußgeldbewehrt. Aber: Das Nichterstellen einer Liste durch die Aufsichtsbehörden ist nicht sanktioniert.
  • Eine DSFA ist auch dann von dem Verantwortlichen oder dem Auftragsverarbeiter durchzuführen, wenn (noch) keine Liste der Aufsichtsbehörden vorliegt. Dies gilt auch für Fälle, die nicht auf der Liste stehen.

 

Art. 35 Abs. 7 DS-GVO »Mindestprüfelemente«

  • Prüfung Art. 5 Abs.1 lit. a-f DS-GVO
  • Prüfung Art. 35 Abs. 7 DS-GVO:
    • Wie ist die Datenverarbeitung beschaffen – was soll konkret gemacht werden?
  • Beschreibung des Vorhabens
  • Hinreichend aussagekräftige und nachvollziehbare Dokumentation
    • Interessenabwägung/Verhältnismäßigkeitsprüfung
  • Insbesondere: Interessensabwägung der Rechte des Unternehmens und der betroffenen Personen
    • Risikoanalyse/Risikobewertung
    • Können die identifizierten Risiken mit Garantien oder Sicherheitsvorkehrungen beherrscht werden?
  • Abhilfemaßnahmen
  • Sicherheitskonzept
  • Dokumentation der erbrachten Abhilfemaßnahmen

 

Art. 35 Abs. 9 DS-GVO: »Einbeziehung betroffener Personen«

  • Beinhaltet die geplante Datenverarbeitung eine Bezugnahme auf die Bewertung persönlicher Aspekte (Profiling)?
  • Gibt es einen Code of Conduct (CoC), der den Standpunkt der betroffenen Personen bereits abgefragt hat?
  • In allen anderen Fällen: kann das Einholen der Standpunkte der betroffenen Personen eine risikominimierende Maßnahme darstellen?

 

Art. 36 Abs. 2 DS-GVO: »Konsultationsverfahren«

  • Wurde die Aufsichtsbehörde kontaktiert?
  • Wenn ja, wann wurde Sie kontaktiert? Wurde die Kontaktaufnahme dokumentiert (gegebenenfalls Beweissicherung)?
  • Berechnung der 6-Wochen-Frist für die Stellungnahme der Aufsichtsbehörde:
    • Hat die Aufsichtsbehörde innerhalb der Frist reagiert?
    • Liegt eine Fristverlängerung vor?
  • Falls keine Reaktion der Aufsichtsbehörde: Vergewisserung, dass die Vorgaben der DS-GVO eingehalten und insbesondere die DSFA ordnungsgemäß durchgeführt wurde; gegebenenfalls proaktive Kontaktaufnahme mit der Aufsichtsbehörde.

 

Weitere Informationen zur Datenschutz-Grundverordnung haben wir hier für Sie zusammengestellt.

Der Beitrag wurde der ZU – Zeitschrift für Datenschutz 2017 entnommen.

ZD • Zeitschrift für Datenschutz

8. Jahrgang 2018, Zeitschrift inkl. Online-Nutzung,
C.H.BECK, 2192-5593

0,00 €

sofort lieferbar!

Aktualisiert am 24.01.2018