Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Stellt die Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen dar, so ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge erforderlich.
Insbesondere in folgenden Fällen ist eine Datenschutz-Folgenabschätzung erforderlich:
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
- Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, worunter schnell die Videoüberwachung fallen kann, sofern öffentlich zugängliche Bereiche mit erfasst werden
Positivliste (Whitelist)
Die Aufsichtsbehörden erstellen eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Einige Aufsichtsbehörden haben davon schon gebrauch gemacht. Diese Listen sollten unbedingt bei der Beurteilung, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss, berücksichtigt werden.
Negativliste (Blacklist)
Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.
Zwingende Bestandteile
- Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
- Die verfolgten berechtigten Interessen, sofern die Verarbeitungsgrundlage darauf gestützt wird
- Die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren
- Der Nachweis, dass die DSGVO bei der Verarbeitung eingehalten wird
Rolle des Datenschutzbeauftragten
Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein. Das bedeutet, der Verantwortliche ist weiterhin für die praktische Durchführung der Datenschutz-Folgenabschätzung verantwortlich. Es ist möglich, diese Aufgabe an einen externen Dienstleister zu vergeben.
Aufsichtbehörde
Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, ist die Aufsichtsbehörde vor der Verarbeitung zu konsultieren.
Regelmäßige Überprüfung
Es ist nicht damit getan, die Datenschutz-Folgenabschätzung einmalig zu machen und im Schrank verstauben zu lassen. Der Verantwortliche sollte regelmäßig überprüfen, ob die Datenverarbeitung wie in der Datenschutz-Folgenabschätzung angegeben durchgeführt wird, oder ob sich mit der Zeit Änderungen ergeben haben.
Rechtsgrundlagen: Art página. 35, 36 DSGVO
Erwägungsgründe: 84, 89, 90, 91, 92, 93