Die Datenschutz-Folgeabschätzung ist ein Instrument der DSGVO. Es bedeutet, dass ein Verantwortlicher vor Verarbeitung von sensiblen Daten eine Abschätzung der Folgen vornehmen muss und diese vor allem auch dokumentieren muss.
Wann führt man die Datenschutz-Folgeabschätzung durch?
Generell wird eine Datenschutz-Folgeabschätzung immer dann durchgeführt, wenn die Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte einer natürlichen Person mit sich bringt. Wichtig ist auch, dass die Aufsichtsbehörden mit ins Boot geholt werden. Ein erster Entwurf der Artikel-29-Datenschutzgruppe zeigt zehn Kriterien, die ein Indikator für ein hohes Risiko für die Rechte einer natürlichen Person darstellt.
Unter anderem wurden folgende Kriterien benannt:
Profiling, Automatische Entscheidungen, die zu (rechtlichen) Folgen eines oder einer Betroffenen führen, Überwachung, Verarbeitung personenbezogener Daten, Zusammenführen von Daten.
Wenn es der Fall ist, dass ein Verarbeitungsvorgang nur eins dieser Kriterien erfüllt, so ist es nicht direkt notwendig eine Datenschutz-Folgeabschätzung durchzuführen. Anders ist der Fall, wenn mehrere Kriterien erfüllt werden. Dann ist es sehr wichtig eine Datenschutz-Folgeabschätzung durchzuführen.
Aufgabe der Aufsichtsbehörden
Die Aufgabe der Aufsichtsbehörden besteht darin, eine Liste anzufertigen und zu veröffentlichen, die zeigt, bei welchen Verarbeitungsvorgängen eine Datenschutz-Folgeabschätzung unbedingt erstellt werden muss. Das gilt auch umgekehrt. Es muss zudem eine Liste mit Vorgängen veröffentlicht werden, die nicht zwingend eine DASF benötigt. Hier findest du übrigens die Website der Aufsichtsbehörde Hessen.
Gerne kannst du dazu auch deinen Datenschutzbeauftragten fragen, wenn du einen hast. Mehr dazu findest du auch in unserem Artikel.