Wichtigste Punkte

Datenschutzfolgeabschätzung (DSFA) ist ein Prozess zur Erkennung, Bewertung und Bewältigung von Risiken für Grundrechte.
Reguliert in Artikel 35 der Datenschutz-Grundverordnung, ersetzt oft die Vorabkontrolle durch die Aufsichtsbehörde.
DSFA notwendig bei hohem Risiko durch Verarbeitung von Daten, besonders bei Gesundheitsdaten oder Profiling.
Inhalt der DSFA umfasst Beschreibung, Bewertung der Notwendigkeit und Risiken der Verarbeitung.
Abhilfemaßnahmen müssen geplant werden, um die Rechte der Betroffenen zu schützen.
Der Begriff „Verarbeitungsvorgang“ umfasst Daten, Systeme und Prozesse, nicht strikt legal definiert.
DSFA erforderlich, wenn auf der Positivliste der zuständigen Aufsichtsbehörde aufgeführt.

Eine Datenschutzfolgeabschätzung (DSFA) ist ein Prozess, der dazu dient, das Risiko zu erkennen, zu bewerten und zu bewältigen, das für das Individuum durch den Einsatz einer bestimmten Technologie oder eines Systems durch eine Organisation für dessen Grundrechte entsteht. Sie ist in Artikel 35 der Datenschutz-Grundverordnung geregelt und ersetzt in den meisten Fällen die Vorabkontrolle durch die Aufsichtsbehörde.

Voraussetzungen

Eine Datenschutz-Folgenabschätzung ist durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Das ist insbesondere der Fall bei:

Systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
Umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO
Systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche

Darüber hinaus ist eine Datenschutz-Folgenabschätzung durchzuführen, sofern sie auf der Positivliste gemäß Artikel 35 Absatz 4 Datenschutz-Grundverordnung der zuständigen Aufsichtsbehörde aufgeführt ist.

Inhalt

Die Folgenabschätzung enthält zumindest Folgendes:

Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird

Verarbeitungsvorgang

Der Begriff „Verarbeitungsvorgang“ ist nicht legaldefiniert. Die deutschen Aufsichtsbehörden verstehen unter Verarbeitungsvorgängen „die Summe von Daten, Systemen (Hard- und Software) und Prozessen“.

Veröffentlicht26. Juni 2023

Aktualisiert27. September 2024

Schlagwörter:

Voraussetzungen

Inhalt

Verarbeitungsvorgang

Ehrlichkeit im Startup-Marketing: Rechtliche Anforderungen und ethische Grenzen zwischen Transparenz und Werbung

Blitzskalierung und aggressive Geschäftsmodelle: Innovation zwischen Fortschritt und Gesetzesumgehung

Startups im rechtlichen Graubereich: Zulässigkeit und Grenzen innovativer Geschäftsmodelle

Schiedsgerichtsbarkeit und alternative Streitbeilegungsverfahren in Unternehmenskonflikten

Moralische und juristische Aspekte zum Thema „Vertrauen unter Gründern“