Suchen

Definition Datenschutz-Folgenabschätzung (DSFA) Was ist eine Datenschutz-Folgenabschätzung?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Die Datenschutz-Folgenabschätzung oder kurz DSFA ist eine wichtige Installation der Datenschutz-Grundverordnung (DSGVO). Sie soll den Schutz von personenbezogenen Daten in datenverarbeitenden Stellen durch eine vorher durchzuführende Risikoanalyse sicherstellen. Die Folgen der Verarbeitungs­vorgänge sind im Voraus genau zu untersuchen und zu bewerten.

Firmen zum Thema

Die Datenschutz-Folgenabschätzung (DSFA) ist eine wichtige Vorgabe der Datenschutz-Grundverordnung (DSGVO) und hilft bei der Bewertung von Risiken für personenbezogene Daten bei der Datenverarbeitung.
Die Datenschutz-Folgenabschätzung (DSFA) ist eine wichtige Vorgabe der Datenschutz-Grundverordnung (DSGVO) und hilft bei der Bewertung von Risiken für personenbezogene Daten bei der Datenverarbeitung.
(Bild: Pixabay / CC0 )

Die Datenschutz-Folgenabschätzung, abgekürzt DSFA, ist im Artikel 35 der Datenschutz-Grundverordnung (DSGVO) näher beschrieben. Es handelt sich um eine im Voraus zur Datenverarbeitung durchzuführende strukturierte Risikoanalyse, die als Kontrollmechanismus für datenverarbeitende Stellen konzipiert ist. Die DSFA soll den Schutz personenbezogener Daten sicherstellen, indem sie die Folgen der Datenverarbeitungsvorgänge für die Betroffenen analysiert und bewertet.

Vergleichbar ist die Datenschutz-Folgenabschätzung mit der im deutschen Datenschutzrecht bisher schon vorhandenen Vorabkontrolle (§ 4d Abs. 5 BDSG). Die Risikoanalyse führt in der Regel der Datenschutzbeauftragte aus. Am Ende der Analyse steht eine Stellungnahmen zur Rechtmäßigkeit der Verarbeitung der Daten und eine Bewertung möglicher Folgen für Freiheiten und persönliche Rechte der Betroffenen.

Wann eine Datenschutz-Folgenabschätzung vorzunehmen ist

Eine Datenschutz-Folgenabschätzung ist laut DSGVO immer dann durchzuführen, wenn durch die Verarbeitung von Daten voraussichtlich hohe Risiken für Freiheiten und persönliche Rechte von Betroffenen entstehen. In Artikel 35 Absatz 3 der DSGVO sind einige Beispiele genannt, bei denen eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht. Dies können beispielsweise folgende Vorgänge sein:

  • umfangreiche Verarbeitung von Daten über Straftaten und strafrechtliche Verurteilungen
  • systematische und weiträumige Überwachung öffentlicher Bereiche
  • umfassende Bewertung von persönlichen Aspekten natürlicher Personen basierend auf Profiling und automatisierter Verarbeitung, die als Entscheidungsgrundlage Rechtswirkungen gegenüber Personen entfalten oder sie in erheblicher Weise beeinträchtigen

Aus diesen Beispielen ist ein im Vergleich zum BDSG größerer Anwendungsbereich der DSFA zu erwarten. Aufsichtsbehörden haben nach DSGVO die Pflicht, Listen mit Verarbeitungsvorgängen zu erstellen und zu veröffentlichen, für die eine DSFA erforderlich ist oder nicht durchgeführt werden muss.

Einrichtungen, die eine Datenschutz-Folgenabschätzung durchführen müssen

Nicht jedes Unternehmen und jede Organisation muss im Fall der Datenverarbeitung personenbezogener Daten eine Datenschutz-Folgenabschätzung durchführen. Aus den in DSGVO Artikel 35 Absatz 3 genannten Beispielfällen sind folgende öffentliche und nichtöffentlicher Stellen zu einer DSFA-Vorabkontrolle verpflichtet:

  • Wirtschaftsauskunfteien, die mit personenbezogenen Scoringverfahren arbeiten
  • Organisationen, die systematisch öffentlich zugängliche Räume per Video überwachen
  • Organisationen die Daten erheben, speichern und verarbeiten, die sich auf Straftaten und strafrechtliche Verurteilungen beziehen

Mindestanforderungen bei der Durchführung einer Datenschutz-Folgenabschätzung

In Artikel 35 Absatz 7 sind die Mindestanforderungen zur Durchführung einer DSFA beschrieben. Die DSFA muss mindestens folgende Inhalte haben:

  • genaue Beschreibung der durchzuführenden Verarbeitungsvorgänge inklusive des Verarbeitungszwecks und eventueller Interessen des Verantwortlichen
  • Analyse und Bewertung der Verhältnismäßigkeit und der Notwendigkeit hinsichtlich Erhebung und Verarbeitung von personenbezogenen Daten für den jeweiligen Zweck
  • Analyse und Bewertung der entstehenden Risiken für Freiheiten und Rechte der Betroffenen
  • geplante Maßnahmen zur Bewältigung der Risiken

Ist ein Datenschutzbeauftragter benannt, ist bei der Durchführung der DSFA dessen Rat einzuholen (Artikel 35 Absatz 2).

(ID:45488622)

Über den Autor