Zu welchem Zeitpunkt muss die Folgenabschätzung durchgeführt/aktualisiert werden?
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Datenschutz-Folgenabschätzung » Zu welchem Zeitpunkt muss die Folgenabschätzung durchgeführt/aktualisiert werden?

Wenn ein hohes Risiko wahrscheinlich ist, muss in jedem Fall vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchgeführt werden (Artikel 35 Absatz 1 DSGVO). Dies stellt eine Schutzmaßnahme dar, die sicherstellt, dass eine mit einem hohen Risiko verbundene Verarbeitung nicht stattfinden kann, es sei denn, die Risiken wurden ermittelt und ausreichend eingedämmt.

Wie bereits erwähnt (siehe „Was ist eine Datenschutz-Folgenabschätzung“), ist eine Datenschutz-Folgenabschätzung ein kontinuierlicher Prozess, der Leitlinien für die Planung und Durchführung einer Verarbeitungstätigkeit bietet. Um Entscheidungen erfolgreich zu leiten und die Einhaltung der DSGVO zu gewährleisten, ist es offensichtlich, dass: „[d]ie DSFA muss zum frühestmöglichen Zeitpunkt bereits in der Entwicklungsphase der Verarbeitungstätigkeiten begonnen werden, selbst wenn einige der Verarbeitungsvorgänge noch nicht bekannt sind. Durch die ständige Aktualisierung der DSFA über den gesamten Lebenszyklus des Projekts hinweg wird nicht nur gewährleistet, dass der Datenschutz die gebührende Beachtung findet, sondern auch angeregt, dass Lösungen zur Einhaltung geltender Vorschriften entwickelt werden.“[1] Dieser Ansatz ist offensichtlich aufgrund der Verpflichtung zum Datenschutz durch Technikgestaltung (Artikel 25 Absatz 1 DSGVO) erforderlich.

Der Prozess einer Datenschutz-Folgenabschätzung ist auch nicht abgeschlossen, sobald die Verarbeitung begonnen hat. Vielmehr führt der Verantwortliche erforderlichenfalls „eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.“ (Artikel 35 Absatz 11 DSGVO). Es gibt mehrere Faktoren, die das Risiko verändern können, darunter die folgenden:

  • Die Verarbeitungstätigkeit ändert sich
  • die Effizienz der Abhilfemaßnahmen ändert sich

Im ersten Fall könnte eine Änderung durch eine Änderung des Verwendungszwecks der Daten (neue Verarbeitungszwecke), Änderungen des Umfangs der Datenerhebung und -verarbeitung, Änderungen der Anzahl der betroffenen Personen (z. B. aufgrund des Erfolgs der Tätigkeit), eine Änderung der Anwendungssoftware (z. B. eine neue Version mit zusätzlichen Funktionen), eine Änderung der technischen Infrastruktur (z. B. eine Migration in die Cloud) oder eine Änderung der Rechtslage (z. B. eine Gerichtsentscheidung, die sich auf die Auslegung der DSGVO auswirkt) verursacht werden.

Im letzteren Fall könnte eine Änderung durch die Entdeckung neuer Schwachstellen in den Schutzmaßnahmen (z. B. Software-Schwachstellen), eine Zunahme der Bedrohungen und der Fähigkeiten von Angreifern (z. B. neue Methoden zur Re-Identifizierung pseudonymer oder anonymer Daten) oder eine organisatorische Änderung verursacht werden, die die Wirksamkeit der Maßnahmen gefährdet (z. B. neue Mitarbeiter, die nicht wissen, was offengelegt werden kann).

 

 

Quellenangaben

1wp248rev.01, Seite 14, Abschnitt III.D.a, 2. Absatz, Hervorhebung und Text in Klammern von den Autoren hinzugefügt.

 

Skip to content