© svetabelaya/Shutterstock.com
Mit der DSGVO kommt auch die DSFA (Datenschutz-Folgenabschätzung)

Das (noch) unbekannte Wesen: DSFA


Bei risikoreichen Verarbeitungen von personenbezogenen Daten muss ein förmliches Verfahren durchgeführt und gegebenenfalls die Datenschutzaufsichtsbehörde kontaktiert werden. Sogenannte Positiv- und Negativlisten können Unternehmen bei der Einschätzung, ob eine DSFA durchgeführt werden muss, helfen.

Die mit der EU-Datenschutz-Grundverordnung (DSGVO) neu eingeführte Datenschutz-Folgenabschätzung (DSFA) kommt immer dann ins Spiel, wenn eine Form der Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. In diesem Fall muss die für die Datenverarbeitung verantwortliche Stelle vorab eine Einschätzung der möglichen Konsequenzen respektive Risiken durchführen, unter Umständen sind auch die Betroffenen und/oder die Datenschutzaufsichtsbehörde zu informieren. Die DSFA soll insbesondere bei der Verwendung von – für den Verantwortlichen – neuen Technologien notwendig werden. Wird also etwa eine Zeiterfassung neu im Unternehmen eingeführt, die mittels Fingerabdruck der Angestellten funktioniert, dann sollte hier vorab eine DSFA durchgeführt werden. Das ergibt sich durch das potenziell hohe Risiko für die betroffenen Personen, also die Mitarbeiter des Unternehmens. Die Risikoeinstufung orientiert sich an der Art, dem Umfang, den Umständen oder auch den Zwecken der Datenverarbeitung.

Ein eventuell existierender Datenschutzbeauftragter muss die DSFA nicht selbst durchführen, er wirkt hieran lediglich beratend und unterstützend mit. Die Hauptverantwortung liegt bei der Unternehmensführung.

Risikoeinstufung

Die nachfolgenden Kriterien sollen Unternehmen bei der Einschätzung der Höhe des Risikopotenzials helfen. Liegen mindestens zwei oder mehr der nachfolgenden Punkte hinsichtlich einer Verarbeitungstätigkeit vor, ist von einem hohen Risiko auszugehen:

  • Evaluierungs- oder Scoringmaßnahmen

  • Automatisierte Entscheidungen mit rechtlicher Relevanz oder ähnlicher Wirkung für den Betroffenen (Profiling)

  • Systematische Beobachtung von Betroffenen

  • Verarbeitung besonderer Kategorien personenbezogener Daten

  • In großem Umfang verarbeitete personenbezogene Daten

  • Abgleich beziehungsweise Kombination verschiedener Datensätze

  • Personenbezogene Daten verletzlicher Datensubjekte

  • Einsatz neuartiger Lösungen/Technologien

  • Übermittlung personenbezogener Daten in Drittstaaten

  • Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst/Vertrag zu nutzen

Anwendungsfälle

Nac...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang