Datenschutz-Folgenabschätzung

Besteht bei Datenverarbeitungsvorgängen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche vorab eine Abschätzung der Folgen der vorhergesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen - so genannte Datenschutz-Folgenabschätzung.

Die Datenschutz-Folgenabschätzung ist also ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Ihr Ziel besteht darin, Kriterien für den Schutz der betroffenen Personen zu definieren und die Folgen der Datenverarbeitung möglichst umfassend zu erfassen.

Einen ersten Überblick geben die Kurzpapiere der Datenschutz-Konferenz zur Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und zum Risiko für die Rechte und Freiheiten natürlicher Personen, das dabei zu prüfen ist.

Vertiefte Informationen enthalten Leitlinien, die der Europäische Datenschutz bestätigt hat.

Unter bestimmten Umständen ist eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen. Das ist der Fall, wenn die DS-GVO dies erfordert und wenn eine Verarbeitungstätigkeit in einer Liste der Aufsichtsbehörde aufgeführt ist.

Nicht-öffentliche Stellen, also etwa Unternehmen und Vereine, müssen immer eine Datenschutz-Folgenabschätzung durchführen, wenn ihre Verarbeitungstätigkeit in der Liste für den nicht-öffentlichen Bereich genannt ist.

Nordrhein-westfälische Behörden und andere öffentliche Stellen, die nicht am Wettbewerb teilnehmen, müssen immer eine Datenschutz-Folgenabschätzung durchführen, wenn ihre Verarbeitungstätigkeit in der Liste für den öffentlichen Bereich genannt ist.

Eine Liste, wann keine Datenschutz-Folgenabschätzung erforderlich ist, gibt es in NRW nicht.

Datenschutz-Folgenabschätzung bei bereits bestehenden Verfahren bzw. Datenverarbeitungsvorgängen

Ob bei einem bestehenden Verfahren bzw. einem Datenverarbeitungsprozess ebenfalls eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist, ist grundsätzlich eine Frage des Einzelfalls.

Allerdings führt das vom EDSA gebilligte Working Paper 248 rev. 01 "Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (zuletzt überarbeitet und angenommen am 4. Oktober 2017) der Artikel 29-Gruppe hierzu aus, dass ein Bestandsverfahren von der Datenschutz-Folgenabschätzung ausgenommen ist, wenn

  • es bereits eine Vorabkontrolle durch den Datenschutzbeauftragten gab und
  • der Verarbeitungsvorgang noch immer auf dieselbe Art durchgeführt wird und
  • sich das mit dem Verarbeitungsvorgang verbundene Risiko nicht geändert hat.

Solange diese Voraussetzungen vorliegen, bedarf es keiner Datenschutz-Folgenabschätzung für Bestandsverfahren. Werden Änderungen am Verarbeitungsvorgang vorgenommen oder ändert sich das Risiko, ist eine Datenschutz-Folgenabschätzung durchzuführen.