Die Datenschutz-Folgenabschätzung (DSFA) näher beleuchtet: Wann und unter welchen Voraussetzungen ist sie durchzuführen?

Eine DSFA ist gemäß Art. 35 DSGVO in folgenden drei Fällen durchzuführen:

1. Die Form der Verarbeitung, insbesondere die Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung hat voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (Art. 35 Abs. 1 DSGVO).

2. Die Verarbeitung fällt unter eines der Regelbeispiele aus Art. 35 Abs. 3 DSGVO. Hierzu zählen:

a) Die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.

b) Die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art.9 Abs.1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art.10 DSGVO.

c) Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

3. Die Verarbeitung befindet sich auf einer Liste nach Art. 35 Abs. 4 DSGVO: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf

 

Doch unter welchen Voraussetzungen und zu welchem Zeitpunkt ist eine DSFA durchzuführen? Wir beleuchten die DSFA im folgenden Artikel ausführlich.

Eine DSFA ist dann durchzuführen, wenn sich aus der Verarbeitung personenbezogener Daten besondere Risiken für die Betroffenen ergeben. Dies können z.B. die Verarbeitung besonderer Kategorien personenbezogener Daten sowie die Verarbeitung personenbezogener Daten zur Bewertung einer natürlichen Person sein.

Hierzu einige Beispiele:

Persönlichkeitstests oder Scoring Aber: keine DSFA ist bspw. bei reinen Mitarbeiterbefragungen, die keine Rückschlüsse auf konkrete Beschäftigte zulassen, erforderlich.

Verarbeitung / Speicherung von Gesundheitsdaten, sind häufig Bestandteil in Personalprozessen (z.B. im Bereich der Arbeitsmedizin, der Gesundheitsvorsorge, bei Tauglichkeitsprüfungen in Personalfragebögen), sie kommt aber auch in sämtlichen klassischen Sektoren der Gesundheitsbranche und daran angrenzenden Dienstleistungsunternehmen vor.

Videoüberwachung in Geländen und von Gebäuden wie beispielsweise Parkplätzen, Einkaufszentren oder auch in Bussen

Verarbeitungen personenbezogener Daten, die sich Techniken bedienen, welche das Erstellen von Bewegungsprofilen zulassen (beispielsweise GPS – Ortung via Fahrzeug, Smartphone usw.)

Die Entscheidung, ob eine Datenschutzfolgenabschätzung durchgeführt wird, trifft die „Verantwortliche Stelle“ (das Unternehmen), während der Datenschutzbeauftragte beratend zur Seite steht. Der Feststellung, ob eine DSFA notwendig ist oder nicht, sollte bereits bei der Überprüfung der Dokumentation der jeweiligen Verarbeitungstätigkeiten festgelegt werden! Achtung: Für bestimmte Verarbeitungen besteht eine datenschutzrechtliche PFLICHT zur Durchführung einer DSFA. Diese nicht durchzuführen erfüllt den Tatbestand eines Datenschutzverstoßes!  (Eine Hilfestellung zur Erkennung eines Verarbeitungsprozesses der DSFA–pflichtig ist: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf)

Im Zweifelsfall sind Sie immer gut beraten, Ihren Datenschutzbeauftragten zu befragen!

Unter Benennung eines der jeweiligen Verarbeitungstätigkeit angepassten und sachkundigen „Projektteams“, führt der Verantwortliche mit der beratenden Unterstützung des Datenschutzbeauftragten die DSFA durch. Ihr Datenschutzbeauftragter kennt die einzelnen Projektschritte der DSFA. Diese fördern die erforderlichen Erkenntnisse zu Tage und gewährleisten absolute Transparenz über Risiken und Restrisiken, indem sie dokumentiert werden.  Nur damit wird auch sichergestellt, dass erkannt wird, welche wirkungsvollen Maßnahmen (TOM) ergriffen und aufrechterhalten werden müssen, um die Rechte der Betroffenen in ausreichendem Maße wahren zu können.

Wird trotz gesetzlicher Verpflichtung die Durchführung einer DSFA nicht vorgenommen, so ist dies ein Verstoß gem. Art. 83 Abs. 4 lit. A i.V.m. Art. 35 Abs. 1 DSGVO. Vorsicht Bußgeld – bzw. Sanktions-Risiko: Die nachträgliche Durchführung einer DSFA kann die Verhängung einer Geldbuße entbehrlich machen. Empfehlung: Machen Sie gegenüber Ihrem DSB alle Verarbeitungstätigkeiten transparent. Etablieren Sie mit ihm einen Prozess zur Identifikation von DSFA–pflichtigen Verarbeitungstätigkeiten.

 

Wichtig zu wissen: Auch wenn der Verantwortliche zu dem Ergebnis kommt, dass keine DSFA erforderlich ist, ist dies schriftlich zu dokumentieren (Rechenschaftspflicht).

Zeitlicher Umfang einer DSFA: Ein standardisierter Prozess erleichtert und beschleunigt die Durchführung einer DSFA. Dennoch: Planen Sie genug Zeit für sorgfältiges Arbeiten ein!

Auch eine durchgeführte DSFA, kann zum Prüfgegenstand einer Aufsichtsbehörde werden!

 

Sie haben Fragen zu diesem Thema oder sind auf der Suche nach einem kompetenten externen Datenschutzbeauftragten? Rufen Sie uns gerne unter der Telefonnummer 08505 919 27-0 an oder füllen Sie unser Kontaktformular aus. Wir beraten Sie gerne!