Risiko entsteht daraus, dass man nicht weiß, was man tut.

(Warren Buffett)

Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO:

... oder verstehen Sie Ihre Risiken !

 

Auch bei einer rechtmäßigen Verarbeitung personenbezogener Daten entstehen Risiken für die betroffenen Personen. Hierzu sind geeignete Abhilfemaßnahmen (insbesondere durch technische und organisatorische Maßnahmen) zu treffen.

Die DSFA (engl.=PIA/Privacy Impact Assessment) ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken bei der Verarbeitung von personenbezogenen Daten.

Eine DSFA ist durchzuführen, wenn insb. bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zweck der Verarbeitung voraussichtlich ein hohes Risiko erwartet werden kann. Ob für einen Verarbeitungsvorgang eine DSFA durchzuführen ist, ergibt sich aus einer Risikoabschätzung. Wird festgestellt, dass die Verarbeitung kein hohes Risiko aufweist, ist die DSFA nicht zwingend erforderlich, die Entscheidung über die Nichtdurchführung ist jedoch zu dokumentieren.

Die Aufsichtsbehörden haben hierzu auch eine Liste mit Verarbeitungsvorgängen erstellt, die auf jeden Fall eine DSFA verlangen (sog. "White-List" oder "Positivliste"). Diese Liste ist nicht abschließend, jedoch Verarbeitungen, die auf dieser Liste aufgeführt sind, erfordern in jedem Fall eine DSFA. Die Liste kann hier eingesehen werden: Whitelist


Zeitpunkt: DSFA ist VOR Aufnahme des zu betrachtenden Verarbeitungsvorgangs durchzuführen und die Wirksamkeit der Maßnahmen ist zu überprüfen (PLAN-DO-CHECK-ACT). Dies bedeutet, dass eine DSFA keine einmalige Erstellungsaktion ist, sondern ein lebender Prozess.


Ergibt eine DSFA, dass trotz ergriffener Maßnahmen zur Risikoeindämmung weiterhin ein hohes Risiko besteht, muss die zuständige Aufsichtsbehörde konsultiert werden (Art.36 DSGVO). Diese kann eine Warnung, Anweisung oder auch Untersagung aussprechen!

 

Die DSFA ist ein sinnvolles Instrument zur Risikoeindämmung und hilft die eigenen Prozesse bei Ihren Verarbeitungsvorgängen zu verstehen und die Risiken zu händeln.

 

Benöigten Sie Hilfe bei der Erstellung von Datenschutzfolgeabschätzungen, so hilft DH-Datenschutz gerne weiter.