Datenschutz-Folgenabschätzung



Besteht bei Datenverarbeitungsvorgängen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche vorab eine Abschätzung der Folgen der vorhergesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen (so genannte Datenschutz-Folgenabschätzung).

Die Datenschutz-Folgenabschätzung ist also ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Ihr Ziel besteht darin, Kriterien für den Schutz der betroffenen Personen zu definieren und die Folgen der Datenverarbeitung möglichst umfassend zu erfassen.

 

Muss bei bereits bestehenden Verfahren bzw. Datenverarbeitungsvorgängen eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchgeführt werden?

Ob bei einem bestehenden Verfahren bzw. einem Datenverarbeitungsprozess ebenfalls eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist, ist grundsätzlich eine Frage des Einzelfalls. Allerdings führt die Artikel 29-Gruppe hierzu in ihrem Working Paper 248 rev. 01 aus, dass ein Bestandsverfahren von der Datenschutz-Folgenabschätzung ausgenommen ist, wenn

  • es bereits eine Vorabkontrolle durch den Datenschutzbeauftragten gab und
  • der Verarbeitungsvorgang noch immer auf dieselbe Art durchgeführt wird und
  • sich das mit dem Verarbeitungsvorgang verbundene Risiko nicht geändert hat.


Solange diese Voraussetzungen vorliegen, bedarf es keiner Datenschutz-Folgenabschätzung für Bestandsverfahren. Werden Änderungen am Verarbeitungsvorgang vorgenommen oder ändert sich das Risiko, ist eine Datenschutz-Folgenabschätzung durchzuführen.


Kurzpapier Nr. 5
:   Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO.

Kurzpapier Nr. 18: Risiko für die Rechte und Freiheiten natürlicher Personen



Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den nicht-öffentlichen Bereich.

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den nicht-öffentlichen Bereich in englischer Sprachfassung.

Hinweis: Diese Liste wurde dem Europäischen Datenschutzausschuss vorgelegt. Nach Abschluss des Kohärenzverfahrens wird diese Liste verbindlich. Bitte beachten Sie, dass es sich bei den in der Liste aufgeführten Verfahren lediglich um eine beispielhafte Aufzählung handelt.





Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den öffentlichen Bereich.

Hinweis: Diese Liste ist verbindlich aber nicht abschließend. Sie wird dem Europäischen Datenschutzausschuss im Rahmen von Art. 35 Abs. 4 S. 2 DS-GVO übermittelt.






zurück zur Übersicht