Datenschutz-Folgenabschätzung: Nur lästige Pflicht?

09. November 2018

Seit 25. Mai müssen Verantwortliche bei Verarbeitungstätigkeiten, die ein
hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellen,
eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Aber was
genau verbirgt sich hinter dieser Maßnahme und hat der Verantwortliche
dadurch auch irgendeinen Mehrwert oder nur zusätzliche Aufwände?

Mit Inkrafttreten der DSGVO wurde die Meldepflicht bei der Datenschutz- behörde (Datenverarbeitungsregister) abgeschafft und stattdessen die Verantwortung verstärkt in Richtung des Verantwortlichen und des Auftragsverarbeiters verlagert. Eine der neuen Verpflichtungen des Verantwortlichen ist die Durchführung einer DSFA. Doch auch Auftragsverarbeiter müssen hier ihren Teil dazu beitragen.

Aber wo genau liegt nun der Mehrwert? Aus Sicht der Betroffenen liegen die Vorteile auf der Hand etwaige Risiken werden bereits frühzeitig erkannt und vor Inbetriebnahme der Verarbeitung beseitigt. Das steigert das Vertrauen in das Unternehmen. Aus Sicht des Verantwortlichen ist die DSFA eine Möglichkeit, um gegenüber Kunden und Behörden die Bemühungen im Bereich Datenschutz darzustellen. Die Artikel 29-Gruppe hat zur DSFA neun Kriterien ausgearbeitet, die für die Durchführung einer DSFA ausschlaggebend sein können. Treffen zumindest zwei der Kriterien zu, ist eine DSFA obligatorisch.

  1. Bewerten und Einstufen (Erstellung von Profilen oder Prognosen)
  2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  3. Systematische Überwachung
  4. Vertrauliche Daten oder höchst persönliche Daten
  5. Datenverarbeitung in großem Umfang
  6. Abgleichen oder Zusammenführen von Datensätzen
  7. Daten zu schutzbedürftigen Betroffenen
  8. Innovative Nutzung oder Anwendung neuer technologischer oder orga- nisatorischer Lösungen
  9. Die Verarbeitung hindert betroffene Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags

 

Weitere Hinweise darauf, ob eine DSFA durchzuführen ist, findet man in der White-/Blacklist der Datenschutzbehörde. Setzen Sie auf jeden Fall  ein entsprechendes Team für die Evaluierung von Verarbeitungen ein, um eine subjektive Beurteilung durch eine Einzelperson zu vermeiden (z. B. DSFA-Team bestehend aus Fachverantwortlichen, IT, Rechtsabteilung, Datenschutzbeauftragte/r).

Haben Sie Fragen?

Ich freue mich auf Ihre Kontaktaufnahme unter: datenschutz@brz.gv.at