Datenschutz-Folgenabschätzung

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Datenschutz-Folgenabschätzung (DSFA) ist eine in bestimmten Fällen vorgeschriebene, strukturierte Risikoanalyse zur Vorabbewertung der möglichen Folgen von Datenverarbeitungsvorgängen, die der Verantwortliche im Sinne des Datenschutzrechts vorzunehmen hat.

Die DSFA ist in Art. 35 der Datenschutz-Grundverordnung (DSGVO) geregelt. Sie ist demnach durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Das ist insbesondere der Fall bei:

  • systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
  • umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO
  • systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche

Die Folgenabschätzung enthält zumindest Folgendes:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird

Verarbeitungsvorgang[Bearbeiten | Quelltext bearbeiten]

Der Begriff "Verarbeitungsvorgang" ist in der DSGVO und im Bundesdatenschutzgesetz nicht definiert. Mit Verarbeitungsvorgang sind alle Datenverarbeitungstätigkeiten gemeint, zur Erfüllung eines Zwecks erforderlich sind[1]. Teilweise werden die von den zuständigen Stellen nach Art. 35 DSGVO veröffentlichten Informationen als "Liste von Verarbeitungsvorgängen" bezeichnet[2].

Belege[Bearbeiten | Quelltext bearbeiten]

  1. Die Arztpraxis - Datenschutz und Datensicherheit nach der neuen Datenschutzgrundverordnung.
  2. Liste von Verarbeitungsvorgängen – Datenschutz-Wiki. Abgerufen am 26. September 2019.