Es gibt kein Standardverfahren für die Durchführung einer Datenschutz-Folgenabschätzung. Artikel 35 Absatz 7 DSGVO fordert jedoch bestimmte Elemente, die immer vorhanden sein müssen. Diese sind:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und
• der Zwecke der Verarbeitung;
• eine Bewertung der Notwendigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
• die zur Bewältigung der Risiken geplanten technischen und organisatorischen Abhilfemaßnahmen.

Die Forscher können weitere Elemente hinzufügen, um die Verarbeitung und die zugrunde liegenden Risiken besser zu beschreiben. Stellt der Verantwortliche nach Durchführung einer Datenschutz-Folgenabschätzung fest, dass die Risiken für die Rechte und Freiheiten der betroffenen Person durch die geplanten Maßnahmen zur Eindämmung dieser Risiken nicht angemessen gemindert werden, muss er gemäß Artikel 36 DSGVO die Aufsichtsbehörde konsultieren.

Das Gesetz schreibt kein bestimmtes Format für die Datenschutz-Folgenabschätzung vor. Dieses kann von dem Verantwortlichen frei gewählt werden. Einige Datenschutzbehörden haben jedoch Vorlagen erstellt, die die Verantwortlichen verwenden können.^[1]

Die Datenschutz-Folgenabschätzung ist keine punktuelle Tätigkeit, sondern ein kontinuierlicher Prozess. Daher müssen im Laufe der Zeit unter Umständen mehrere Bewertungen durchgeführt werden, beispielsweise wenn sich der Kontext ändert oder wenn neue Informationen verfügbar werden.

Die Ergebnisse der Datenschutz-Folgenabschätzungen sind aufzuzeichnen und als Teil der Datenschutzdokumentation aufzubewahren.
 

Quellenangaben

---

¹Siehe beispielsweis: }Commision Nationale Informatique & Libertés, Privacy Impact Assessment (PIA). Templates, Februar 2018. ↑