Datenschutzfolgenabschätzung (DSFA)

Minimierung der Risiken von Datenverarbeitungen

Ist eine Datenverarbeitung besonders risikoreich oder kommen neue Technologien (z.B. Cloudanwendungen) zum Einsatz löst dies für den Verantwortlichen eine Pflicht zur Durchführung einer Datenschutzfolgenabschätzung aus. Hierzu zieht er den betrieblichen Datenschutzbeauftragten mit zu Rate. (Bei einer Pflicht zur DSFA muss immer ein Datenschutzbeauftragter bestellt sein.)

Eine DSFA muss schriftlich und systematisch aufgebaut erfolgen. Sie umfasst:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die relevanten Datenschutzgesetze eingehalten werden

Die Datenschutzfolgenabschätzung muss erneut durchgeführt werden, wenn sich Sachverhalte der Datenverarbeitung oder die Rahmenbedingungen ändern. Mindestens einmal jährlich sollten Sie prüfen, ob dies der Fall ist.