Die in Artikel 35 Datenschutzgrundverordnung (DSGVO) geregelte Datenschutz-Folgeabschätzung (DSFA) ähnelt in vielen Aspekten der aus dem Bundesdatenschutzgesetz (BDSG) bekannten Vorabkontrolle. Ihr Ziel ist die Minimierung der Risiken, die auch aus der rechtmäßigen Verarbeitung personenbezogener Daten für die Betroffenen entstehen können.
Gemäß Art. 35 DSGVO ist eine DSFA oder im englischen Sprachgebrauch PIA (Privacy Impact Assessment) insbesondere dann durchzuführen, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.
Wann ist eine DSFA vorzunehmen?
Grundsätzlich ergibt sich dies aus einer Risikoabschätzung der Verarbeitungsvorgänge. Ist ein hohes Risiko zu erwarten, muss eine DSFA durchgeführt werden. Art. 35 Abs. 3 benennt Fälle, in denen eine DSFA durchzuführen ist:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.
Art. 35 Abs. 4 schreibt vor, dass die Aufsichtsbehörden, aufbauend auf den Leitlinien der Artikel 29-Datenschutzgruppe, eine Blacklist für die Fälle, in denen eine DSFA zwingend erforderlich ist, erstellen. Eine Whitelist, für die Fälle, in denen i.d.R. keine DSFA erforderlich ist, kann gem. Art. 35 Abs. 5 DSGVO von den Aufsichtsbehörden erstellt werden.
Erste europäische Aufsichtsbehörden geben Listen heraus
Die Kollegen von Intersoft Consulting haben vergangene Woche in einem Blogbeitrag berichtet, dass erste europäische Aufsichtsbehörden solche Black- and Whitelists erstellt haben.
Demnach hat Polen eine Liste von Verarbeitungstätigkeiten zusammengestellt, für die eine DSFA erforderlich ist (hier finden Sie eine englische Übersetzung). Diese Liste kann bis zum 28. April kommentiert werden. Belgien hat sogar zwei Listen erstellt. Einmal eine mit Verarbeitungstätigkeiten, die eine DSFA erforderlich machen und eine, bei denen auf eben diese verzichtet werden kann.
In Deutschland wird auch mit Spannung auf eine Liste der Aufsichtsbehörden gewartet. Bis dahin müssen Unternehmen selbst durch Risikoeinschätzung bewerten, wann eine DSFA erforderlich ist und wann auf sie verzichtet werden kann. In jedem Fall sollte die Entscheidung über die Durchführung oder Nichtdurchführung einer DSFA unter Angabe der Gründe schriftlich dokumentiert werden.