An welche Zielgruppe richtet sich ein DSFA-Bericht?
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Datenschutz-Folgenabschätzung » An welche Zielgruppe richtet sich ein DSFA-Bericht?

Der DSFA-Bericht richtet sich an die folgenden Zielgruppen:

  1. Personen, die an den Verarbeitungstätigkeiten beteiligt sind (in der Regel der Verantwortliche und (optional) Auftragsverarbeiter)
  2. einschließlich des Datenschutzbeauftragten (DSB),
  3. die zuständige Aufsichtsbehörde, und
  4. (soweit möglich) die Öffentlichkeit.

1. In Anbetracht der Tatsache, dass die Datenschutz-Folgenabschätzung die Entscheidungen des Verantwortlichen und (optional) des/der Auftragsverarbeiter(s) lenkt, dient der DSFA-Bericht (in verschiedenen Versionen und Fertigstellungsstadien) als Kommunikationsinstrument für die beteiligten Mitarbeiter. Dies ist besonders wichtig, wenn man den möglicherweise interdisziplinären Charakter der Arbeit in Betracht zieht, bei der beispielsweise eine Art von Fachwissen erforderlich ist, um die Risiken zu ermitteln, und eine andere, um angemessene technische Abhilfemaßnahmen zu finden. Eine weitere wichtige Rolle spielt es, wenn das Personal wechselt und sich die Verarbeitungstätigkeit im Laufe der Zeit weiterentwickelt.

2. Die Datenschutzbeauftragten (DSB) haben Zuständigkeiten, die sich direkt auf die Datenschutz-Folgenabschätzung beziehen. Sie haben insbesondere die Aufgabe, auf Anfrage Ratschläge zur Datenschutz-Folgenabschätzung zu erteilen und deren Durchführung[1] zu überwachen.

3. Eine Aufsichtsbehörde, die untersucht, ob eine bestimmte Verarbeitungstätigkeit im Einklang mit der DSGVO steht, kann einen DSFA-Bericht anfordern (sofern erforderlich), um nachzuweisen, dass die Verpflichtung nach Artikel 35 erfüllt wurde – und ganz allgemein, um die Einhaltung der DSGVO zu bewerten. Vielmehr enthält ein gut verfasster DSFA-Bericht alle erforderlichen Beweise, um nachzuweisen, dass die Verarbeitungstätigkeit tatsächlich mit der DSGVO vereinbar ist.

4. Transparenz ist eine zentrale Anforderung der Datenschutz-Grundverordnung. Dementsprechend empfiehlt die Artikel 29-Datenschutzgruppe, die Veröffentlichung zumindest einer geschwärzten Version der Datenschutz-Folgenabschätzung[2] in Erwägung zu ziehen.
 

Quellenangaben

1Artikel 35 Absatz 1 Buchstabe c DSGVO

2wp248rev.01, Seite 18, Abschnitt III.D.d), zweiter Absatz: „Laut DSGVO ist die Veröffentlichung einer DSFA kein rechtliches Erfordernis, sondern liegt in der Entscheidung des für die Verarbeitung Verantwortlichen. Dieser sollte jedoch zumindest die Veröffentlichung von Teilen der DSFA, wie etwa einer Zusammenfassung oder der Ergebnisse, in Betracht ziehen.“

 

Skip to content