ePrivacy hat kürzlich eine Vorlage zur Erstellung einer Datenschutz-Folgenabschätzung (DSFA) herausgegeben und bringt damit Licht und Struktur in dieses Thema:
Was genau versteht man unter einer DSFA?
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren zur Sicherstellung und zum Nachweis der Einhaltung gesetzlicher Anforderungen der DSGVO. Mit der DSFA werden besonders risikoreiche Datenverarbeitungen analysiert. Die einschlägigen Vorschriften der DSGVO bilden den Rahmen für die Entwicklung und Durchführung einer DSFA. Dazu gehören insbesondere Art. 35 DSGVO sowie die Erwägungsgründe 84, 90, 91, 92 und 93 DSGVO.
Unter welchen Umständen muss eine DSFA durchgeführt werden?
Die für die Verarbeitung Verantwortlichen müssen eine DSFA durchführen, wenn die vorangegangene Schwellwert- bzw. Risikoanalyse positiv ausfällt. Im Rahmen der Risikoanalyse ist zu prüfen, ob die Verarbeitung personenbezogener Daten, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt“.
Bei der Durchführung der DSFA muss der Rat des Datenschutzbeauftragten eingeholt werden (sofern einer benannt wurde), Art. 35 Abs. 2 DSGVO. Darüber hinaus muss der für die Datenverarbeitung Verantwortliche, sofern aus der DSFA hervorgeht, dass die Verarbeitung weiterhin (trotz Maßnahmen) hohe Restrisiken birgt, vor der Verarbeitung die Aufsichtsbehörde konsultieren, Art. 36 DSGVO.
Eine Veröffentlichung oder etwa Zusammenfassung der Ergebnisse kann vom Verantwortlichen in Betracht gezogen werden.
Wann ist eine DSFA zu erstellen?
Die Erstellung einer DSFA ist zum frühestmöglichen Zeitpunkt, bereits vor den betreffenden Verarbeitungstätigkeiten, durchzuführen. Verantwortliche müssen fortlaufend die Risiken bewerten, die ihre Verarbeitungsvorgänge betreffen, um diese zu erkennen. Bei der DSFA handelt es sich somit um einen fortlaufenden Prozess, der bei ständigen Veränderungen ebenfalls dynamisch bleibt.
Was bedeutet die Nichtbeachtung?
Für den Fall, dass eine DSFA nicht durchgeführt wird, obwohl für die konkrete Verarbeitung erforderlich oder nicht ordnungsgemäß durchgeführt wird oder die zuständige Aufsichtsbehörde – obwohl vorgeschrieben – nicht konsultiert wird, können empfindliche Bußgelder verhängt werden.
Was ist PIA in diesem Zusammenhang?
PIA (Privacy Impact Assessment) ist eine Anwendung („opensource“), die von der französischen Aufsichtsbehörde CNIL entwickelt wurde, um den Datenverantwortlichen bei der Erstellung und dem Nachweis der Einhaltung der DSGVO zu helfen. Sie hilft bei der Durchführung einer Datenschutz-Folgenabschätzung, indem sie die Verwendung der von der CNIL entwickelten PIA-Methode vereinfacht. (Link zu weiteren Informationen)
Aufgrund der Komplexität und Bedeutung einer DSFA empfehlen wir diese von rechtlichen Experten, die mit Datenschutzthemen vertraut sind, abschließend bewerten zu lassen.
Die Kollegen von ePrivacy stehen Ihnen hierbei gerne zur Verfügung. Kunden, die unseren ePrivacyaudit gebucht haben, können die Vorlage zur Erstellung einer DSFA dem Kapitel „Vorlagen/Risikoanalyse“ entnehmen.