Datenschutz-Folgenabschätzung

Dieser Schritt ermöglicht es Ihnen, auf einfache Weise zu bewerten, ob Ihre Verarbeitung Gegenstand einer Datenschutz-Folgenabschätzung (DSFA oder PIA auf Englisch) sein muss, wie in Artikel 35 der DSGVO vorgesehen.

Was ist eine DSFA? Ein Verfahren zur Bewertung der Notwendigkeit und Verhältnismäßigkeit sowie zur Steuerung der Risiken.

Unter welchen Bedingungen muss ich eine DSFA durchführen? Wenn die Risiken für die Rechte und Freiheiten der betroffenen Personen hoch sind. Der EDSA hat Klarstellungen vorgenommen, um den Anwendungsbereich dieser Anforderung zu präzisieren. Konkret wird die Durchführung einer DSFA erforderlich, wenn die Verarbeitung mindestens zwei der folgenden Kriterien erfüllt:

• Bewertung/Scoring

• Automatisierte Entscheidung mit rechtlicher Wirkung

• Systematische Überwachung

• Sensible Daten

• Großer Maßstab

• Datenverknüpfung

• Schutzbedürftige Personen

• Innovative Nutzung

• Übermittlung außerhalb der EU

• Blockierung eines Rechts/Vertrags

Das Kriterium der Übermittlungen außerhalb der EU ist nicht Teil der vom EDSA erstellten Liste, stellt jedoch aufgrund der für eine Übermittlung erforderlichen Garantien ein erhebliches Risiko dar.

Manchmal kann bei besonders sensiblen Verarbeitungen für die betroffenen Personen auch nur ein einziges Kriterium ausreichen.

Darüber hinaus veröffentlichen die Aufsichtsbehörden eine Liste der Verarbeitungsarten, für die eine DSFA obligatorisch ist, und können eine Liste der Verarbeitungsarten veröffentlichen, für die eine DSFA nicht obligatorisch ist.

Die CNIL in Frankreich hat diese beiden Listen veröffentlicht, die hier zugänglich sind:

Liste der Verarbeitungsarten ohne obligatorische DSFA

Liste der Verarbeitungsarten mit obligatorischer DSFA

Es sei darauf hingewiesen, dass Artikel 30 der DSGVO nicht verlangt, anzugeben, ob eine DSFA für die Verarbeitung durchgeführt wurde.