Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Prozess, um das Risiko zu erkennen, zu bewerten und zu bewältigen, das für das Individuum in dessen unterschiedlichen Rollen durch den Einsatz einer bestimmten Technologie oder eines Systems durch eine Organisation für dessen Grundrechte entsteht.[1]

Voraussetzungen

Die Datenschutz-Folgenabschätzung ist in Artikel 35 der Datenschutz-Grundverordnung geregelt und ersetzt in den meisten Fällen die Vorabkontrolle durch die Aufsichtsbehörde. Sie ist durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Das ist insbesondere der Fall bei:

  • systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
  • umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO
  • systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche

Darüber hinaus ist eine Datenschutz-Folgenabschätzung durchzuführen, sofern sie auf der Positivliste gemäß Artikel 35 Absatz 4 Datenschutz-Grundverordnung der zuständigen Aufsichtsbehörde aufgeführt ist. In Deutschland gilt im nicht-öffentlichen Bereich meist die Liste der Datenschutzkonferenz.[2] Die österreichische Datenschutzbehörde hat die Liste in Form einer Verordnung erlassen.[3]

Inhalt

Die Folgenabschätzung enthält zumindest Folgendes:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird

Verarbeitungsvorgang

Der Begriff „Verarbeitungsvorgang“ ist nicht legaldefiniert. Die deutschen Aufsichtsbehörden verstehen unter Verarbeitungsvorgängen „die Summe von Daten, Systemen (Hard- und Software) und Prozessen“.[4]

Literatur

  • DIN EN ISO/IEC 29134, Informationstechnik - Sicherheitsverfahren - Datenschutz-Folgenabschätzung - Leitfaden
  • Werner Schäfke-Zell: Datenschutz-Folgenabschätzung. In: Die Datenschutz-Checkliste. Für die betriebliche Praxis – ohne Fachjargon. Köln September 2021 (datenschutz-checkliste.info [abgerufen am 7. Oktober 2021]). 
  • Nicholas Martin, Michael Friedewald, Ina Schiering, Britta A. Mester, Dara Hallinan, Meiko Jensen: Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO - Ein Handbuch für die Praxis. Hrsg.: Michael Friedewald, Nicholas Martin. Fraunhofer Verlag, Stuttgart 2020, ISBN 978-3-8396-1594-2, urn:nbn:de:0011-n-586394-15 (fraunhofer.de [PDF; abgerufen am 25. Juli 2021]). 
  • Dossier IV: Datenschutz-Folgenabschätzung. In: Stiftung Datenschutz (Hrsg.): DSGVO-INFO. August 2018 (stiftungdatenschutz.org [PDF; abgerufen am 25. Juli 2021]). 
  • Gesellschaft für Datenschutz und Datensicherheit: Voraussetzungen der Datenschutz-Folgenabschätzung. In: GDD-Praxishilfe DS-GVO. Band X. Bonn November 2017 (gdd.de [PDF; abgerufen am 25. Juli 2021]). 

Beispiele

  • S. Gonscherowski, T. Herber, R. Robrahn, M. Rost, R. Weichelt: Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO auf der methodischen Grundlage eines standardisierten Prozessablaufes mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“-Verfahrens. In: datenschutzzentrum.de. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 2017, abgerufen am 25. Juli 2021. 
  • Bayerisches Landesamt für Datenschutzaufsicht: Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134. In: lda.bayern.de. 19. Juli 2017, abgerufen am 25. Juli 2021. 
  • Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter: Datenschutz-Folgenabschätzung: Durchführung einer DSFA am Beispiel einer Videoüberwachung. In: privacyofficers.at. Januar 2018, archiviert vom Original am 3. September 2018; abgerufen am 25. Juli 2021. 
  • Sabine Fock, Christoph Isele, Pierre Kaufmann, Michael Letter, Mark Rüdlin, Jörg Schecker, Bernd Schütze, Stefan Wunschel: Beispielhafter Umgang mit der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) - Am Beispiel eines KrankenhausInformationssystems. In: gesundheitsdatenschutz.org. Bundesverband Gesundheits-IT, Deutsche Gesellschaft für Medizinische Informatik, Biometrie und Epidemiologie, 14. Dezember 2019, abgerufen am 25. Juli 2021. 
  • Kirsten Bock, Christian Ricardo Kühne, Rainer Mühlhoff, Měto R. Ost, Jörg Pohle, Rainer Rehak: Datenschutz-Folgenabschätzung für die Corona-App. In: fiff.de. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung, 29. April 2020, abgerufen am 25. Juli 2021. 
  • Bericht zur Datenschutz-Folgenabschätzung für die Corona-Warn-App der Bundesrepublik Deutschland - Öffentliche Version. Version 1.15. In: coronawarn.app. Robert Koch-Institut, 12. Juli 2021, archiviert vom Original am 25. Juli 2021; abgerufen am 25. Juli 2021. 

Einzelnachweise

  1. Michael Friedewald, Felix Bieker, Hannah Obersteller, Maxi Nebel, Nicholas Martin, Martin Rost, Marit Hansen: Datenschutz-Folgenabschätzung - Ein Werkzeug für einen besseren Datenschutz. In: forum-privatheit.de, Fraunhofer-Institut für System- und Innovationsforschung. Michael Friedewald, Regina Ammicht Quinn, Marit Hansen, Jessica Heesen, Thomas Hess, Jörn Lamla, Christian Matt, Alexander Roßnagel, Sabine Trepte, Michael Waidner, November 2017, S. 5, abgerufen am 25. Juli 2021. 
  2. Datenschutzkonferenz: Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist. Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, 17. Oktober 2018, abgerufen am 15. Juli 2022. 
  3. Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. 11. September 2018, abgerufen am 25. Juli 2021. 
  4. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder: Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO. In: datenschutzkonferenz-online.de. 17. Dezember 2018, abgerufen am 25. Juli 2021: „Eine DSFA bezieht sich auf einzelne, konkrete Verarbeitungsvorgänge. Unter Verarbeitungsvorgängen ist die Summe von Daten, Systemen (Hard- und Software) und Prozessen zu verstehen.“ 
Bitte den Hinweis zu Rechtsthemen beachten!