Hauptinhalt

Datenschutz-Folgenabschätzung

Nach Artikel 35 Absatz 1 Datenschutz-Grundverordnung (DSGVO) muss der Verantwortliche, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen. Nach Artikel 35 Absatz 7 DSGVO enthält eine Datenschutz-Folgenabschätzung insbesondere „die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird“. Eine Datenschutz-Folgenabschätzung zielt also im Wesentlichen auf technische und organisatorische Maßnahmen zur Minimierung eines erkannten hohen Risikos.

Was ist eine Datenschutz-Folgenabschätzung nach der DSGVO?

Eine Datenschutz-Folgenabschätzung ist ein Instrument, das den Verantwortlichen dazu verpflichtet, zeitlich vor einer Verarbeitung, die voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten betroffener Personen führt, diese Verarbeitung zu beschreiben, zu bewerten und nach Wegen für eine weniger risikoreiche Verarbeitung zu suchen. Eine Datenschutz-Folgenabschätzung ist also durch den Verantwortlichen durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit technischen und organisatorischen Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Artikel 35 Absatz 1, 7 DSGVO sowie die Erwägungsgründe 84, 89 bis 95).

Eine Datenschutz-Folgenabschätzung bezieht sich auf einzelne, konkrete Verarbeitungsvorgänge. Unter Verarbeitungsvorgängen ist die Summe von Daten, Systemen (Hard- und Software) und Prozessen zu verstehen.

Sofern mehrere ähnliche Verarbeitungsvorgänge voraussichtlich ein ähnliches Risiko aufweisen, können diese zusammen bewertet werden (Artikel 35 Absatz 1 Satz 2 DSGVO). Ähnliche Risiken können beispielsweise dann gegeben sein, wenn ähnliche Technologien zur Verarbeitung vergleichbarer Daten (-kategorien) zu gleichen Zwecken eingesetzt werden (siehe auch Erwägungsgrund 92 der Datenschutz-Grundverordnung). Bei einer gemeinsamen Bewertung von ähnlichen Verarbeitungsvorgängen sind die im Folgenden dargestellten Vorgehensweisen gegebenenfalls anzupassen.

Erforderlichkeit

Symbolische Darstellung eines Dokuments mit Einsen und Nullen sowie einem Achtungszeichen

Zeitpunkt und Durchführung

Konsultationsverfahren bei hohem Restrisiko

Symbolische Darstellung zweier Personen und einem Achtungszeichen sowie zwei aufeinander zeigende Pfeile.
zurück zum Seitenanfang