Datenschutz-Folgenabschätzung (DSFA) – Wann und wie?

Die Datenschutz-Folgenabschätzung (DSFA) ist ein strukturierter Prozess zur Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen. Sie ist nach Art. 35 DSGVO für bestimmte Verarbeitungen verpflichtend und ein wichtiges Instrument des risikobasierten Datenschutzansatzes der DSGVO.

Wann ist eine DSFA erforderlich?

Eine DSFA ist nach Art. 35 Abs. 1 DSGVO erforderlich, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat." Art. 35 Abs. 3 DSGVO nennt drei Fallgruppen, für die eine DSFA in jedem Fall erforderlich ist:

Erstens: Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage automatisierter Verarbeitung einschließlich Profiling, auf der Grundlage von Entscheidungen, die erhebliche Auswirkungen auf natürliche Personen haben. Zweitens: Umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen. Drittens: Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung).

Darüber hinaus haben die Aufsichtsbehörden sogenannte Blacklists veröffentlicht, die weitere Verarbeitungsarten nennen, für die eine DSFA erforderlich ist. In Hessen gilt die Liste des HBDI.

Der DSFA-Prozess

Die DSFA ist ein mehrstufiger Prozess. Zunächst wird die Notwendigkeit der DSFA geprüft: Liegt eine der genannten Fallgruppen vor? Wenn ja, wird die Verarbeitung systematisch beschrieben: Welche Daten werden verarbeitet? Zu welchem Zweck? Welche Personen sind betroffen? Welche Empfänger gibt es?

Im nächsten Schritt werden die Risiken für die Rechte und Freiheiten der betroffenen Personen bewertet. Dabei werden sowohl die Eintrittswahrscheinlichkeit als auch die Schwere der möglichen Schäden berücksichtigt. Anschließend werden Maßnahmen zur Risikominderung identifiziert und implementiert.

Nach Implementierung der Maßnahmen wird das Restrisiko bewertet. Wenn das Restrisiko akzeptabel ist, kann die Verarbeitung aufgenommen werden. Wenn das Restrisiko noch hoch ist, muss die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO).

Konsultation des Datenschutzbeauftragten

Nach Art. 35 Abs. 2 DSGVO muss der Verantwortliche bei der Durchführung der DSFA den Rat des Datenschutzbeauftragten einholen, sofern ein solcher benannt wurde. Der DSB unterstützt bei der Identifikation der Risiken, der Bewertung der Maßnahmen und der Dokumentation des Prozesses.

Dokumentation und Aktualisierung

Die DSFA muss dokumentiert werden. Die Dokumentation umfasst eine systematische Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken sowie die geplanten Abhilfemaßnahmen. Die DSFA muss regelmäßig überprüft und bei wesentlichen Änderungen der Verarbeitung aktualisiert werden.

Als externer Datenschutzbeauftragter begleite ich den gesamten DSFA-Prozess: von der Notwendigkeitsprüfung über die Risikoanalyse bis zur Dokumentation und ggf. Konsultation der Aufsichtsbehörde. Eine sorgfältig durchgeführte DSFA schützt nicht nur die betroffenen Personen, sondern auch den Verantwortlichen vor Haftungsrisiken.