Rechtliche Fragen: Durchführung einer Datenschutz-Folgenabschätzung
Home » Standort- und Nachverfolgungsdaten » Auswirkungen verstehen » Rechtliche Fragen: Durchführung einer Datenschutz-Folgenabschätzung

Eine DSFA ist ein Verfahren, bei dem der Verantwortliche vor der Einleitung eines Datenverarbeitungsvorgangs mit hohem Risiko für die Grundrechte und Freiheiten der betroffenen Personen vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführt (Artikel 35 Absatz 1 DSGVO). Wenn die Verantwortlichen mit einem hohen Risiko konfrontiert sind, sollte eine DSFA gemäß Artikel 35 Absatz 7 DSGVO durchgeführt werden. Im Falle von Standort- und Begegnungsdaten ist der EDSA der Auffassung, dass eine Datenschutz-Folgenabschätzung (DSFA) vor der Einführung eines solchen Instruments ausgeführt werden muss, da die Verarbeitung als mit einem hohen Risiko (Gesundheitsdaten, voraussichtliche flächendeckende Einführung, systematische Überwachung, Einsatz neuer technologischer Lösungen) behaftet eingestuft wird. Der EDSA empfiehlt nachdrücklich, dass Datenschutz-Folgenabschätzungen veröffentlich werden.“[1].

Es ist wichtig zu betonen, dass eine DSFA immer dann durchgeführt werden sollte, wenn der Verantwortliche der Auffassung ist, dass eine konkrete Verarbeitung ein hohes Risiko birgt. Die meisten Datenschutzbehörden schreiben eine DSFA vor, wenn die Verarbeitung eine systematische Ortung der betroffenen Personen beinhaltet.[2] Daher kann es durchaus vorkommen, dass ein Entwickler während des Produktionsprozesses mehrere Datenschutz-Folgenabschätzungen durchführen muss. Wir sind in der Tat der Ansicht, dass diese Abschätzungen nach Möglichkeit überprüft und aktualisiert werden sollten, insbesondere dann, wenn der Verantwortliche die Richtlinien zur Datenspeicherung und -löschung festlegen muss.

Wenn die DSFA ergibt, dass der geplante Verarbeitungsvorgang ein hohes Risiko für die Grundrechte und Freiheiten der betroffenen Personen zur Folge hat, sollte der Verantwortliche in bestimmten Situationen die nationale Aufsichtsbehörde konsultieren, wie in Artikel 36 DSGVO vorgesehen. Einige Mitgliedstaaten haben Listen mit Beispielen für Datenverarbeitungsvorgänge herausgegeben, die diese obligatorische Datenschutz-Folgenabschätzung auslösen würden. Diese umfassen Situationen, die mit Techniken übereinstimmen, die Standort- und Begegnungsdaten verarbeiten. Dies gilt insbesondere dann, wenn sie KI-Techniken beinhalten. Die Aufsichtsbehörden können verlangen, dass bestimmte Maßnahmen zur Risikominderung ergriffen werden, wenn dies möglich ist, bzw. die Verwendung des Geräts oder Systems verbieten, wenn dies nicht möglich ist.

Checkliste: Ist eine Datenschutz-Folgenabschätzung notwendig?

 Der Verantwortliche hat die Zuständigkeitsbereiche bestimmt, in denen die Datenverarbeitung stattfinden wird.

 Der Verantwortliche hat geprüft, ob diese Länder Listen mit Verarbeitungen erlassen haben, die eine obligatorische DSFA erfordern, und ob die geplante Datenverarbeitung von diesen Bestimmungen abgedeckt ist.

 Ist sich der Verantwortliche nicht sicher, ob eine DSFA erforderlich ist, muss er den Datenschutzbeauftragten oder stattdessen die Rechtsabteilung des Verantwortlichen konsultieren.

 Gegegenenfalls hat der Verantwortliche eine DSFA durchgeführt.

 Gegebenenfalls hat der Verantwortliche vorab die zuständige Aufsichtsbehörde konsultiert.

 Falls Änderungen vorgeschlagen wurden, hat der Verantwortliche den Rat der Aufsichtsbehörde befolgt.

 

 

Quellenangaben

1EDSA, Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19. Angenommen am 21. April 2020

2Siehe z. B. den Standpunkt der spanischen Datenschutzbehörde in: https://www.aepd.es/sites/default/files/2019-09/listas-dpia-es-35-4.pdf

 

Skip to content