Die Datenschutz-Folgenabschätzung (DSFA) näher beleuchtet: Wann und unter welchen Voraussetzungen ist sie durchzuführen?

Eine Datenschutzfolgenabschätzung (DSFA) soll eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen, so verlangt es Art. 35 DSGVO.

Eine DSFA ist gemäß Art. 35 DSGVO in folgenden drei Fällen durchzuführen:

1. Die Form der Verarbeitung, insbesondere die Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung hat voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge (Art. 35 Abs. 1 DSGVO).

2. Die Verarbeitung fällt unter eines der Regelbeispiele aus Art. 35 Abs. 3 DSGVO. Hierzu zählen:

a) Die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.

b) Die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art.9 Abs.1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art.10 DSGVO.

c) Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

3. Die Verarbeitung befindet sich auf einer Liste nach Art. 35 Abs. 4 DSGVO: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf

Doch unter welchen Voraussetzungen und zu welchem Zeitpunkt ist eine DSFA durchzuführen? Wir beleuchten die DSFA in diesem Artikel ausführlich.

 

Wann wird eine DSFA durchgeführt?

Eine DSFA ist dann durchzuführen, wenn sich aus der Verarbeitung personenbezogener Daten besondere Risiken für die Betroffenen ergeben. Dies können z. B. die Verarbeitung besonderer Kategorien personenbezogener Daten sowie die Verarbeitung personenbezogener Daten zur Bewertung einer natürlichen Person sein.

Einige Beispiele:

Persönlichkeitstests oder Scoring Aber: keine DSFA ist bspw. bei reinen Mitarbeiterbefragungen, die keine Rückschlüsse auf konkrete Beschäftigte zulassen, erforderlich. 

Verarbeitung / Speicherung von Gesundheitsdaten, sind häufig Bestandteil in Personalprozessen (z. B. im Bereich der Arbeitsmedizin, der Gesundheitsvorsorge, bei Tauglichkeitsprüfungen in Personalfragebögen), sie kommt aber auch in sämtlichen klassischen Sektoren der Gesundheitsbranche und daran angrenzenden Dienstleistungsunternehmen vor.

Videoüberwachung in Geländen und von Gebäuden wie z. B. Parkplätzen, Einkaufszentren oder auch in Bussen

Verarbeitungen personenbezogener Daten, die sich Techniken bedienen, welche das Erstellen von Bewegungsprofilen zulassen (GPS – Ortung via Fahrzeug, Smartphone usw.)

 

Wie und durch wen erfolgt die Prüfung, ob eine DSFA notwendig ist?

Die Entscheidung, ob eine DSFA durchgeführt wird, trifft die „Verantwortliche Stelle“ (das Unternehmen), während der Datenschutzbeauftragte beratend zur Seite steht. Der Feststellung, ob eine DSFA notwendig ist oder nicht, sollte bereits bei der Überprüfung der Dokumentation der jeweiligen Verarbeitungstätigkeiten festgelegt werden! Achtung: Für bestimmte Verarbeitungen besteht eine datenschutzrechtliche PFLICHT zur Durchführung einer DSFA. Diese nicht durchzuführen erfüllt den Tatbestand eines Datenschutzverstoßes!  (Eine Hilfestellung zur Erkennung eines Verarbeitungsprozesses der DSFA–pflichtig ist: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf)

Im Zweifelsfall sind Sie immer gut beraten, Ihren Datenschutzbeauftragten zu befragen!

 

Wie wird die DSFA durchgeführt?

Unter Benennung eines der jeweiligen Verarbeitungstätigkeit angepassten und sachkundigen „Projektteams“, führt der Verantwortliche mit der beratenden Unterstützung des Datenschutzbeauftragten die DSFA durch. Ihr Datenschutzbeauftragter kennt die einzelnen Projektschritte der DSFA, welche die erforderlichen Erkenntnisse zu Tage fördern und absolute Transparenz über Risiken und Restrisiken herstellt und dokumentiert.  Nur damit wird auch sichergestellt, dass erkannt wird, welche wirkungsvollen Maßnahmen (TOM) ergriffen und aufrechterhalten werden müssen, um die Rechte der Betroffenen in ausreichendem Maße wahren zu können.

 

Nachholen einer pflichtwidrig unterlassenen DSFA

Wird trotz gesetzlicher Verpflichtung die Durchführung einer DSFA nicht vorgenommen, so ist dies ein Verstoß gem. Art. 83 Abs. 4 lit. A i.V.m. Art. 35 Abs. 1 DSGVO. Vorsicht Bußgeld – bzw. Sanktions-Risiko: Die nachträgliche Durchführung einer DSFA kann die Verhängung einer Geldbuße entbehrlich machen. Empfehlung: Machen Sie gegenüber Ihrem DSB alle Verarbeitungstätigkeiten transparent. Etablieren Sie mit ihm einen Prozess zur Identifikation von DSFA–pflichtigen Verarbeitungstätigkeiten.

 

Wichtig zu wissen: Auch wenn der Verantwortliche zu dem Ergebnis kommt, dass keine DSFA erforderlich ist, ist dies schriftlich zu dokumentieren (Rechenschaftspflicht).

Zeitlicher Umfang einer DSFA: Ein standardisierter Prozess erleichtert und beschleunigt die Durchführung einer DSFA. Dennoch: Planen Sie genug Zeit für sorgfältiges Arbeiten ein!

Auch eine durchgeführte DSFA, kann zum Prüfgegenstand einer Aufsichtsbehörde werden!