Datenschutz-Folgenabschätzung
Nach Artikel 35 Absatz 1 Datenschutz-Grundverordnung (DSGVO) muss der Verantwortliche, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Nach Artikel 35 Absatz 7 DSGVO enthält eine Datenschutz-Folgenabschätzung insbesondere »die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird«. Eine Datenschutz-Folgenabschätzung zielt also im Wesentlichen auf technische und organisatorische Maßnahmen zur Minimierung eines erkannten hohen Risikos.
Was ist eine Datenschutz-Folgenabschätzung nach der DSGVO?
Eine Datenschutz-Folgenabschätzung ist ein Instrument, das den Verantwortlichen dazu verpflichtet, zeitlich vor einer Verarbeitung, die voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten betroffener Personen führt, diese Verarbeitung zu beschreiben, zu bewerten und nach Wegen für eine weniger risikoreiche Verarbeitung zu suchen. Eine Datenschutz-Folgenabschätzung ist also durch den Verantwortlichen durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit technischen und organisatorischen Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Artikel 35 Absatz 1, 7 DSGVO sowie die Erwägungsgründe 84, 89 bis 95).
Eine Datenschutz-Folgenabschätzung bezieht sich auf einzelne, konkrete Verarbeitungsvorgänge. Unter Verarbeitungsvorgängen ist die Summe von Daten, Systemen (Hard- und Software) und Prozessen zu verstehen.
Sofern mehrere ähnliche Verarbeitungsvorgänge voraussichtlich ein ähnliches Risiko aufweisen, können diese zusammen bewertet werden (Artikel 35 Absatz 1 Satz 2 DSGVO). Ähnliche Risiken können beispielsweise dann gegeben sein, wenn ähnliche Technologien zur Verarbeitung vergleichbarer Daten (-kategorien) zu gleichen Zwecken eingesetzt werden (siehe auch Erwägungsgrund 92 der Datenschutz-Grundverordnung). Bei einer gemeinsamen Bewertung von ähnlichen Verarbeitungsvorgängen sind die im Folgenden dargestellten Vorgehensweisen gegebenenfalls anzupassen.
Weitere Informationen
- Liste der Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (PDF-Datei auf der Website der Datenschutzkonferenz)
- Kurzpapier: Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO (PDF-Datei auf der Website der Datenschutzkonferenz)
- Anwendungshinweise des Bayrischen Landesamts für Datenschutzaufsicht zur Datenschutz-Folgenabschätzung
- Leitlinien der Artikel 29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 »wahrscheinlich ein hohes Risiko mit sich bringt« (PDF-Datei auf der Website des Bayerischen Landesbeauftragten für den Datenschutz)