Datenschutzfolgenabschätzung
Mit der Datenschutzfolgenabschätzung (DSFA) betritt die DSGVO Neuland, zumindest in terminologischer Hinsicht. Denn sie lässt sich mit der schon nach altem Datenschutzrecht bekannten Vorabkontrolle vergleichen. Sie war erforderlich, wenn besonders sensible Daten verarbeitet wurden bzw. die Datenverarbeitung zur Bewertung der Persönlichkeit des Betroffenen diente. Entsprechend beschreibt und bewertet man mit einer Datenschutzfolgenabschätzung die Verarbeitung personenbezogener Daten eines folgenabschätzungspflichtigen Verarbeitungsvorgangs. Folgenabschätzungspflichtig ist nach Art. 35 DSGVO „[…] eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“. Typische Beispiele hierfür sind nach Art. 35 DSGVO:
- umfangreiche Verarbeitung von personenbezogenen Daten besonderer Kategorien über strafrechtliche Verurteilungen und Straftaten
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
Die DSGVO verlangt also, dass die Verarbeitungen und ihr Risiko besonders genau geprüft werden, die eine große Gefahr für die Rechte und Freiheiten der betroffenen Person nach sich ziehen. Das Risiko für die betroffene Person muss mit objektiven Kriterien abhängig von der Eintrittswahrscheinlichkeit und der Schwere des Schadens bestimmt werden. Kann ein Unternehmen ein hohes bzw. sehr hohes Risiko nicht durch den Einsatz angemessener technisch-organisatorischer Maßnahmen reduzieren, muss es eine Genehmigung der zuständigen Aufsichtsbehörde einholen. Kommen neue Risiken hinzu, die die bereits bewerteten Risiken ändern oder erschweren, ist eine erneute DSFA erforderlich. Die DSFA dient dazu, Risiken zu beschreiben, zu bewerten und zu reduzieren.
Klingt kompliziert? Übersetzt in „Datenschutz einfach“:
Daten verraten unterschiedlich viel über Personen: Weiß jemand, dass eine Person in Pusemuckel wohnt, ist das für die Person weniger gefährlich, als wenn jemand weiß, dass die Person ein Verbrechen begangen hat. Wenn ein Unternehmen also Daten verarbeiten will, die für eine Person gefährlich sein könnten, muss es besonders sorgfältig sein. Darum muss es eine sogenannte Datenschutzfolgenabschätzung durchführen. Bevor es sich also Daten über eine Person besorgt, muss das Unternehmen schauen, welche Daten es verarbeiten will, ob das gefährlich für Personen sein könnte und was es tun kann, damit die Person keinen Schaden nimmt.
Vergleiche: Rechenschaftspflicht