Mit der Einführung der DS-GVO im letzten Jahr gab es zahlreiche Neuerungen sowie Umbenennung von Methoden oder Neubezeichnungen. Eine davon dürfte die Datenschutz-Folgenabschätzung sein.

Während die meisten Personen von einer Datenschutzerklärung gehört haben und dass eine solche, mehr oder weniger sinnvoll, in die eigene Webseite eingebaut werden muss, hört es bei weiteren Instrumenten meist auf. So dürften die wenigsten wissen, dass man als Person, Selbständiger oder Unternehmer, der/die persönliche Daten verarbeitet, ein Verarbeitungsverzeichnis anlegen muss (siehe dazu diesen Artikel).

Das Gleiche dürfte für eine Datenschutz-Folgenabschätzung gelten, die in Art. 35 DS-GVO geregelt ist.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Aber wer muss eine solche Datenschutz-Folgenabschätzung erstellen? Nun, der relevantes Fall dürfte der sein, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.

Eine Positivliste, welche Arten von Datenverarbeitungsvorgängen betroffen sind, findet man in diesem Dokument. Aber Achtung: Das ist keine abschließende Liste.

Ob die Voraussetzungen vorliegen muss nun jeder selber entscheiden. Geht es nach der Auffassung der Datenschutzkommission, ist jedoch die Entscheidung über die Durchführung oder Nichtdurchführung einer Folgenabschätzung mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.

Für typische Onlineshops etc. am relevantesten sind wohl Verarbeitungsvorgänge wie  die Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen. Diese könnten anfallen, bei der Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten. 

Setzt man als Plugins für WooCommerce oder Shopify ein, die das Kaufverhalten von Kunden analysieren und den Erfolg von Rabattaktionen, wie Black-Friday-Verkäufe, statistisch auswerten und bewerten, ist unter Umständen eine Datenschutz-Folgenabschätzung notwendig.

Übrigens ist eine Datenschutz-Folgenabschätzung kein einmaliger Vorgang. Sollten sich z.B. neue Risiken ergeben, sich die Bewertung bereits erkannter Risiken ändern oder wesentliche Änderungen im Verfahren ergeben, die in der bisherigen Datenschutz-Folgenabschätzung nicht berücksichtigt wurden, so ist die Datenschutz-Folgenabschätzung zu überprüfen und anzupassen.

Die Datenschutz-Folgenabschätzung ist daher in wenig so etwas wie ein Instrument, sich schlicht Gedanken über die eigenen Datenschutzvorgänge Gedanken zu machen und Dinge wie IT-Sicherheit, Menge der Daten, Löschvorgänge, Archivierung, Zugriffsrechte und vieles weiteres ein wenig Gedanken zu machen. Ein paar weitere Hinweise gibt es in diesem Kurzpapier.