Folgenabschätzung

  • Die Folgenabschätzung ist ein Instrument der DSGVO um in Verfahren oder Systemen Risiken zu erkennen und zu beurteilen, die sich aus der Nutzung für einen Betroffenen ergeben können.

    Die Datenschutzgrundverordnung schreibt für bestimmte Verfahren oder Systeme, in denen personenbezogene Daten verarbeitet werden, besondere Vorkehrungen zum Schutz vor Risiken vor. Solche Risiken ergeben sich für den Betroffenen aus der Nutzung der automatisierten oder auch manuellen Verfahren.


    Die Datenschutzfolgenabschätzung bildet die Grundlage zum Bestimmen von Gegenmaßnahmen. Sie ist ein Instrument um in Verfahren oder Systemen die Risiken für den Betroffenen zu erkennen und zu beurteilen. Dabei steht im Fokus die Intensität des Eingriffs in die Rechte eines Betroffenen, die sich aus dem Enöatz neuer Technik oder Technologien in einem Verfahren ergeben. Die Verfahren werden aus Datenschutz Perspektive betrachtet.


    Verstöße gegen DSGVO sind hier relevant und werden mit Bußgeldern bis 10 Mio Eur bzw. 2% des weltweiten Jahresumsatzes geahndet.

    Wissen

    Weitere Informationen

    Die Folgeabschätzung wird notwendig bei Verarbeitungsvorgängen, insb. bei neuen Technologien, mit voraussichtlich hohen Datenschutzrisiken wegen Art, Umfang, Umständen und der Zwecke der Verarbeitung.


    Insbesondere in folgenden Fällen erforderlich

    • automatisierte Entscheidungen im Einzelfall, einschließlich Profiling (Art. 22 DSGVO)
    • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder
    • von Daten über strafrechtliche Verurteilungen und Straftaten oder 
    • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

    Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein.


    Die Aufsichtsbehörde erstellt und veröffentlicht eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz- Folgenabschätzung durchzuführen ist, und kann eine Liste der Arten von Verarbeitungen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist.


    Die Folgenabschätzung enthält zumindest Folgendes:

    • systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, einschließlich ggflsder von dem Verantwortlichen verfolgten berechtigten Interessen,
    • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge für den Zweck;
    • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
    • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen,
    • einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Datenschutz sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird,
    • wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

    Falls erforderlich führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn bei den Risiken Änderungen eingetreten sind. Es besteht die Pflicht des Verantwortlichen zur vorherigen Konsultation der Aufsichtsbehörde bei hohen Risiken der Verarbeitung ohne Gegenmaßnahmen zur Eindämmung des Risikos Art. 35 DSGVO, Art. 36 DSGVO

Teilen