Datenschutz-Folgenabschätzung (DFA)

31. Juli 2019 Aus Von Christian Allner

Eine Datenschutz-Folgenabschätzung (DSFA oder DFA) ist ein Dokumentationsvorgang im Rahmen des Datenschutzes.

Bei Formen der Verarbeitung von Daten, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, schreibt Art. 35 DSGVO vor eine Datenschutz-Folgenabschätzung durchzuführen.

Wann ist eine Datenschutz-Folgenabschäftung nötig?

Gemäß Artikel 35 DSGVO ist eine Datenschutz-Folgenabschäftung (DFA) dann nötig, wenn eine

„Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“

Dann muss der Verantwortliche (meist das die Technologie entwickelnde Unternehmen) vorab die Folgen in einer Art Worst-Case-Szenario aufschreiben oder sonstwie dokumentieren. Das dient als Nachweis darüber, dass man sich mit dem Thema eingängig beschäftigt hat.

Eine DFA vor allem dann erforderlich, wenn:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen u.a. durch Profiling (bspw. SCHUFA),
  • umfangreiche Verarbeitung best. Kategorien (bspw. Strafbehörden, Krankenhäuser, Anwälte etc.) oder eine
  • systematische umfangreiche Überwachung öffentlicher Bereiche (bspw. Bahnhöfe, Flughäfen etc.)

stattfindet.

Die Einträge beruhen auf der Anwendung der entsprechenden Leitlinie der Artikel-29-Datenschutzgruppe. Der Leitlinie stellt folgende Kriterien zur Einordnung des Risikos von Verarbeitungsvorgängen auf:

  1. Vertrauliche oder höchst persönliche Daten (“Sensitive data or data of a highly personal nature”)
  2. Daten zu schutzbedürftigen Betroffenen (“Data concerning vulnerable data subjects”)
  3. Datenverarbeitung in großem Umfang (“Data processed on a large scale”)
  4. Systematische Überwachung (“Systematic monitoring”)
  5. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen (“Innovative use or applying new technological or organisational solutions“)
  6. Bewerten oder Einstufen (Scoring) (“Evaluation or scoring”)
  7. Abgleichen oder Zusammenführen von Datensätzen (“Matching or combining datasets”)
  8. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung (“Automated-decision making with legal or similar significant effect”)
  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert (“When the processing in itself prevents data subjects from exercising a right or using a service or a contract”)

Eigenschaften einer Datenschutz-Folgenabschätzung

Eine DFA ist formfrei und gleicht einer Art Bericht, Protokoll oder Hausarbeit, in der sich eingehend mit einem Thema beschäftigt wird und unter anderem auch aktuelle wissenschaftliche Forschung in das Fazit einfließt (also ob man die neue Technologie verwendet oder nicht und was man zum Datenschutz macht).

Linktipp

Datenschutz-Grundverordnung (DSGVO) – DER Datenschutzbeauftragte in Halle und Magdeburg

Gemäß § 5 (1) UrhG genießen Gesetze, Verordnungen, amtliche Erlasse und Bekanntmachungen sowie Entscheidungen und amtlich verfasste Leitsätze zu Entscheidungen keinen urheberrechtlichen Schutz und dürfen demnach frei publiziert werden. Dieser Text stammt ursprünglich vom Amt für Veröffentlichungender Europäischen Union (Stand: 13.05.2018). VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27.

 

Ähnliche Wiki-Einträge