Bud P. Brügger (ULD)
Die endgültige Fassung dieses Abschnitts wurde von Hans Graux, Gastdozent für IKT- und Datenschutzrecht am Tilburg Institute for Law, Technology, and Society (TILT) und an der AP Hogeschool Antwerpen, validiert. Präsident der Vlaamse Toezichtscommissie (Flämische Aufsichtskommission), die die Einhaltung des Datenschutzes in flämischen öffentlichen Einrichtungen überwacht.
In bestimmten Fällen verlangt die Datenschutz-Grundverordnung von den Verantwortlichen die Durchführung einer Datenschutz-Folgenabschätzung (DSFA). Im Folgenden wird dieses Konzept durch die Beantwortung einiger Schlüsselfragen beschrieben:
- Was ist eine DSFA?
- Was sind die Ziele einer Datenschutz-Folgenabschätzung?
- An welche Zielgruppe richtet sich ein DSFA-Bericht?
- Wie unterscheidet sich eine DSFA von einer Sicherheitsbewertung?
- Wer muss eine Datenschutz-Folgenabschätzung durchführen? Wer sollte an der Durchführung einer Datenschutz-Folgenabschätzung beteiligt sein?
- In welchen Fällen muss ich eine Datenschutz-Folgenabschätzung durchführen? Gibt es Listen von Verarbeitungstätigkeiten, die eine Datenschutz-Folgenabschätzung erfordern?
- Zu welchem Zeitpunkt muss die Folgenabschätzung durchgeführt/aktualisiert werden?
- Gibt es eine standardisierte Methode für die Durchführung einer Datenschutz-Folgenabschätzung? Gibt es Skizzen, Vorlagen oder Werkzeuge zur Unterstützung der Durchführung einer DSFA?
- Was kann die Durchführung einer DSFA erleichtern?
- Was passiert, wenn ich keine DSFA ausführe? Was sind die möglichen Folgen?
Die Antworten stützen sich in erster Linie auf die Datenschutz-Grundverordnung selbst und auf die Leitlinien der Artikel-29-Datenschutzgruppe zu diesem Thema (wp248rev.01)[1], die vom Europäischen Datenschutzausschuss formell gebilligt wurde[2], [3].
Checkliste |
Wenn eine DSFA erforderlich ist:
|
DOs |
|
DON’Ts |
|
Weitere Lektüre
|
Quellenangaben
1wp248rev.01, ARTIKEL-29-DATENSCHUTZGRUPPE, Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“, angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611236 (zuletzt besucht am 14.01.2020). ↑
2Endorsement of GDPR WP29 guidelines by the EDPB, https://edpb.europa.eu/news/news/2018/endorsement-gdpr-wp29-guidelines-edpb_en, Brüssel, 25. Mai 2018, Punkt 6. ↑
3https://edpb.europa.eu/ ↑