frau-die-der-grafischen-uberlagerung-des-computernetzwerks-arbeitet.j

Die Datenschutz-Folgenabschätzung (DSFA): Wann ist sie notwendig?

VonJanko Williams

Was Sie in diesem Artikel erfahren

In diesem Artikel erfahren Sie alles Wissenswerte rund um die Datenschutz-Folgenabschätzung (DSFA), auch bekannt als Data Protection Impact Assessment (DPIA). Wir beleuchten, was eine DSFA genau ist, wann sie laut der Datenschutz-Grundverordnung (DSGVO) zwingend durchzuführen ist und welche Kriterien dabei eine Rolle spielen. Des Weiteren erhalten Sie eine detaillierte Anleitung zum Vorgehen, lernen die wesentlichen Bestandteile einer DSFA kennen und erfahren, welche Konsequenzen bei einer Nichtdurchführung drohen. Unser Ziel ist es, Ihnen ein fundiertes Verständnis für dieses wichtige Instrument des Datenschutzes zu vermitteln, damit Sie rechtliche Risiken minimieren und die Rechte der Betroffenen effektiv schützen können.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung ist ein in Artikel 35 der DSGVO verankertes Verfahren. Es handelt sich dabei um eine systematische Einschätzung der Risiken, die von einer bestimmten Verarbeitungstätigkeit für die Rechte und Freiheiten natürlicher Personen ausgehen. Ziel der DSFA ist es, Risiken frühzeitig zu identifizieren und geeignete Maßnahmen zu ergreifen, um diese zu minimieren oder zu beseitigen. Anders als eine allgemeine Risikoanalyse konzentriert sich die DSFA explizit auf die Risiken für die betroffenen Personen, also auf das Risiko, dass ihre personenbezogenen Daten missbraucht, manipuliert oder offengelegt werden könnten.

Die DSFA ist somit ein präventives Werkzeug. Sie soll sicherstellen, dass Verantwortliche die Datenschutzrisiken bereits vor Beginn einer neuen Datenverarbeitungstätigkeit umfassend bewerten. Dies schließt die Überprüfung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung ein und führt idealerweise zu einer datenschutzfreundlichen Gestaltung des gesamten Prozesses (Privacy by Design).

Wann ist eine DSFA zwingend erforderlich?

Die Notwendigkeit einer DSFA ergibt sich aus Artikel 35 Absatz 1 der DSGVO. Eine DSFA ist immer dann durchzuführen, wenn eine geplante Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. Das ist eine relativ breite Formulierung, weshalb die DSGVO und die europäischen Aufsichtsbehörden in ihren Leitlinien konkretere Kriterien zur Verfügung stellen.

Die Aufsichtsbehörden haben Listen erstellt, die beispielhaft anführen, wann ein hohes Risiko vorliegt. Typischerweise ist eine DSFA erforderlich, wenn:

  • Umfangreiche Verarbeitung besonderer Kategorien von Daten: Dies betrifft sensible Daten wie Gesundheitsdaten, genetische Daten, biometrische Daten oder Daten über die politische Meinung, die sexuelle Orientierung oder die ethnische Herkunft. Die Verarbeitung dieser Daten in großem Umfang, zum Beispiel in einem Krankenhaus oder einer Forschungseinrichtung, löst die DSFA-Pflicht aus.
  • Systematische und umfassende Bewertung persönlicher Aspekte (Profiling): Wenn eine Organisation personenbezogene Daten systematisch verarbeitet, um persönliche Aspekte zu bewerten, insbesondere wenn dies zu automatisierten Entscheidungen führt, die rechtliche oder ähnlich erhebliche Auswirkungen auf die Betroffenen haben, ist eine DSFA unerlässlich. Beispiele hierfür sind Kredit-Scoring, Verhaltensanalyse von Kunden für personalisierte Werbung oder die Bewertung von Mitarbeitern.
  • Umfangreiche öffentliche Überwachung: Die systematische Überwachung öffentlich zugänglicher Bereiche in großem Umfang, wie zum Beispiel Videoüberwachung in Einkaufszentren, an Flughäfen oder in öffentlichen Verkehrsmitteln, erfordert eine DSFA.
  • Datenverarbeitung in großem Umfang: Der Begriff “großer Umfang” ist nicht exakt definiert, umfasst jedoch eine erhebliche Anzahl von betroffenen Personen oder eine Verarbeitung, die geografisch weit verbreitet ist. Das kann zum Beispiel die Verarbeitung von Kundendaten durch einen internationalen Online-Shop betreffen.
  • Einsatz neuer Technologien: Die Einführung neuer, innovativer Technologien, die noch keine etablierten Datenschutzstandards haben, wie zum Beispiel bestimmte KI-Systeme oder das Internet der Dinge (IoT), kann ebenfalls ein hohes Risiko darstellen.
  • Kombination von Datensätzen: Wenn Daten aus verschiedenen Quellen zusammengeführt werden, um ein detaillierteres Profil einer Person zu erstellen.
  • Datenübermittlung in Drittländer: Bei der Übermittlung von Daten in Länder außerhalb der EU, die kein angemessenes Datenschutzniveau aufweisen, muss eine DSFA die Risiken für die Betroffenen bewerten.

Die Aufsichtsbehörden betonen, dass das Vorliegen von mindestens zwei dieser Kriterien in der Regel eine DSFA-Pflicht auslöst. Es ist jedoch wichtig, dass Verantwortliche stets eine sorgfältige Einzelfallprüfung vornehmen. Im Zweifel ist es ratsam, eine DSFA durchzuführen.

Durchführung der Datenschutz-Folgenabschätzung

Schritt 1: Prüfung der Notwendigkeit

Zunächst muss der Verantwortliche prüfen, ob die geplante Verarbeitungstätigkeit tatsächlich ein hohes Risiko birgt. Hierbei kann der Datenschutzbeauftragte (falls vorhanden) eine wertvolle Unterstützung leisten. Wenn Unsicherheit besteht, sollte eine DSFA durchgeführt werden. Eine systematische Prüfung anhand der oben genannten Kriterien ist hier der erste Schritt.

Schritt 2: Detaillierte Analyse und Dokumentation

Ist die DSFA-Pflicht festgestellt, beginnt die eigentliche Analyse. Die DSGVO verlangt, dass die DSFA folgende Mindestinhalte aufweist:

  1. Systematische Beschreibung der geplanten Verarbeitungstätigkeiten: Was genau soll verarbeitet werden? Welche Arten von Daten, zu welchem Zweck, auf welcher Rechtsgrundlage und für wie lange?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung wirklich notwendig, um den Zweck zu erreichen? Könnten weniger invasive Methoden verwendet werden?
  3. Bewertung der Risiken für die Betroffenen: Welche Risiken bestehen für die Rechte und Freiheiten der betroffenen Personen? Hierzu zählen unter anderem das Risiko von Datenlecks, Identitätsdiebstahl, Diskriminierung oder dem Verlust der Kontrolle über die eigenen Daten.
  4. Maßnahmen zur Risikominimierung: Welche Sicherheitsvorkehrungen, technischen und organisatorischen Maßnahmen werden getroffen, um die identifizierten Risiken zu reduzieren? Dies kann die Pseudonymisierung, Verschlüsselung, Zugangskontrollen oder Schulungen der Mitarbeiter umfassen.

Dieser Prozess sollte in enger Abstimmung mit dem Datenschutzbeauftragten erfolgen. Es empfiehlt sich auch, die betroffenen Personen oder deren Vertreter, wo möglich, in den Prozess einzubeziehen, um deren Perspektive zu berücksichtigen.

Schritt 3: Konsultation der Aufsichtsbehörde

Sollte die DSFA ergeben, dass trotz aller ergriffenen Maßnahmen ein hohes Restrisiko verbleibt, muss der Verantwortliche die zuständige Aufsichtsbehörde vor Beginn der Verarbeitung konsultieren. Die Behörde prüft die DSFA und die geplanten Maßnahmen. Sie kann innerhalb von acht Wochen (verlängerbar um weitere sechs Wochen) Empfehlungen aussprechen oder die Verarbeitung untersagen. Ohne die Zustimmung der Behörde darf die Verarbeitung in diesem Fall nicht beginnen.

Konsequenzen bei Missachtung der DSFA-Pflicht

Die Nichtdurchführung einer erforderlichen DSFA ist ein schwerwiegender Verstoß gegen die DSGVO. Gemäß Artikel 83 Absatz 4 der DSGVO können hierfür Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden – je nachdem, welcher Betrag höher ist.

Darüber hinaus kann die Aufsichtsbehörde die Verarbeitungstätigkeit untersagen und weitere Anordnungen treffen. Neben den finanziellen Strafen droht ein erheblicher Reputationsschaden, der das Vertrauen der Kunden und Partner nachhaltig beeinträchtigen kann. Die DSFA ist somit nicht nur eine rechtliche Pflicht, sondern auch ein wesentlicher Bestandteil einer verantwortungsvollen Unternehmensführung.

Fazit

Die Datenschutz-Folgenabschätzung ist ein zentrales Instrument der DSGVO, um die Rechte und Freiheiten von Personen bei der Datenverarbeitung zu schützen. Sie ist immer dann erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt. Die sorgfältige Durchführung einer DSFA hilft nicht nur, hohe Bußgelder und Reputationsschäden zu vermeiden, sondern ermöglicht auch die Entwicklung von datenschutzfreundlichen Produkten und Dienstleistungen. Verantwortliche sollten die Kriterien für eine DSFA-Pflicht genau prüfen, den Prozess systematisch und umfassend dokumentieren und im Zweifel immer den Rat des Datenschutzbeauftragten einholen oder die zuständige Aufsichtsbehörde konsultieren. Indem Unternehmen die DSFA als Chance begreifen, können sie das Vertrauen ihrer Kunden stärken und sich zukunftssicher aufstellen.

Ähnliche Beiträge