Prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist
Home » Biometrik » Fallstudie » Vorbereitungsphase » Prüfen, ob eine Datenschutz-Folgenabschätzung erforderlich ist

Die DSGVO verlangt eine Datenschutz-Folgenabschätzung, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Entwickler sind sich nicht sicher, ob die Verarbeitung solche Risiken zur Folge hat. Sie beschließen daher, die Verarbeitung anhand der oben genannten neun von der Artikel 29-Datenschutzgruppe vorgeschlagenen Kriterien zu bewerten.

Kriterien einer mit einem hohen Risiko behafteten Verarbeitung
Bewertung oder Bewertung (z. B. Profiling) Trifft nicht zu
Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlicher signifikanter Wirkung Trifft nicht zu
Systematische Überwachung Trifft nicht zu
Sensible Daten oder Daten von sehr persönlicher Natur Trifft zu (siehe unten)
Daten werden in großem Umfang verarbeitet Trifft zu (siehe Abschnitt )
Matching oder Kombination von Datensätzen (über die vernünftigen Erwartungen der betroffenen Person hinaus) Trifft nicht zu
Daten zu gefährdeten Personen Trifft nicht zu
Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen Trifft nicht zu (siehe unten)
Die Verarbeitung an sich verhindert, dass betroffene Personen ein Recht ausüben oder eine Dienstleistung oder einen Vertrag in Anspruch nehmen Trifft nicht zu

Die Bewertung ergibt, dass die Verarbeitung mindestens zwei Kriterien erfüllt. Das erste Kriterium betrifft die Art der personenbezogenen Daten, die verarbeitet werden sollen. Da im Rahmen dieser Forschungstätigkeit Handflächenabdrücke als biometrische Daten ermittelt wurden, kommen die Entwickler zu dem Schluss, dass diese Daten das Kriterium der Sensibilität und der sehr persönlichen Natur erfüllen. Das zweite Kriterium betrifft den Umfang der Verarbeitung. Die Entwickler haben bereits ermittelt, dass die Verarbeitung als „umfangreich“ einzustufen ist (siehe 4.2.1 „Benennung eines Datenschutzbeauftragten (DSB)“).

Die Entwickler prüfen darüber hinaus das Kriterium „Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen“. Dieses Kriterium trifft nicht zu, da sich die Tätigkeit auf die Forschung konzentriert und eine konkrete Anwendung in einem organisatorischen Kontext bei der derzeitigen Tätigkeit nicht vorgesehen ist.

Datenschutz-Folgenabschätzung
Ist die Verarbeitung mit einem „hohe Risiko” behaftet? Ja Eine DSFA ist obligatorisch
Nein Eine DPIA ist optional

 

Skip to content