RSS FeedsTwitterEnglish Version
Datenschutz Glossar

Datenschutz-Folgenabschätzung

Wenn eine Verarbeitung besonders risikoreich ist, haben Verantwortliche vorab eine sog. Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 1 DSGVO durchzuführen. Die DSGVO sieht dieses erhöhte Risiko vor allem bei der Verwendung von neuen Technologien, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung größere Gefahren für die Rechte von betroffenen Personen beinhalten.

Zweck und Durchführung

Durch die Abschätzung soll ermittelt werden, welche potentiellen Folgen sich hinsichtlich der Verarbeitung für den Schutz der personenbezogenen Daten ergeben können. Die Datenschutz-Folgenabschätzung hat nach Art. 35 Abs. 2 DSGVO zusammen mit dem Datenschutzbeauftragten (DSB) des Unternehmens zu erfolgen, sofern ein solcher existiert.

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

In Abs. 3 des Art. 35 DSGVO werden einige Regelbeispiele genannt, in welchen Fällen eine solche Datenschutz-Folgenabschätzung erforderlich ist:

  1. bei der systematischen und umfassenden Bewertung von persönlichen Aspekten natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für die Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Person entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  2. bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 oder
  3. bei der systematisch umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Nach Art. 35 Abs. 4 DSGVO erstellen die zuständigen Aufsichtsbehörden eine Liste, bei welchen Verarbeitungsvorgängen eine Datenschutz-Folgenabwägung vorzunehmen ist.

Mindestinhalt der Datenschutz-Folgenabschätzung

In Abs. 7 des Art. 35 DSGVO wird zudem der Mindestinhalt einer Datenschutz-Folgenabschätzung dargelegt. Dieser umfasst:

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Datenschutz Glossar
Impressum / Datenschutz / Rechtliche Hinweise