Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Die Datenschutz-Folgenabschätzung (DSFA) ist verpflichtend, wenn neue automatisierte Verfahren eingeführt werden, die hohe Risiken und besondere Folgen für den Schutz persönlicher Daten haben. Sie ist ebenso wie die Dokumentation von Verarbeitungsverfahren ein internes Dokument, das zunächst nur den Datenschutz-Aufsichtsbehörden zur Verfügung gestellt werden muss.
Eine DSFA kann aber auch ein wirksames Instrument sein, um die Integrität und Vertrauenswürdigkeit der eigenen Organisation Kunden und Nutzern aufzuzeigen.
Die DD-eG hat z.B. für die Einführung von Lernplattformen und Kollaborations-Tools Datenschutz-Folgenabschätzungen erstellt und daraus technische und organisatorische Anforderungen für deren Einsatz entwickelt. Dabei spielen technische, rechtliche und organisatorische Faktoren eine Rolle, so dass erst in ihrer Zusammenschau die Risiken erkannt und gebannt werden können.
Wann brauche ich eine DSFA?
Art. 35(1): "Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge", so ist vorab eine DSFA erforderlich. Diese Notwendigkeit gilt unabhängig von der Organisationsform für alle Behörden, Vereine und Unternehmen. Um die Notwendigkeit einer DSFA zu erkennen, gibt es diverse Leitfäden sowie Whitelists (wann nicht) und vor allem Blacklists (wann doch). Wir haben dazu einen Entscheidungsbaum entwickelt, den wir auch vor der Einführung unserer neuen Lernplattform eingesetzt haben, so die Notwendigkeit erkannt und eine DSFA dafür erstellt haben. Damit konnten wir die Lösung deutlich sicherer machen.