Was ist eine Datenschutzfolgenabschätzung?

Mit Geltung der DSGVO wurde die Datenschutzfolgenabschätzung (DSFA) eingeführt (Artikel 35 DSGVO). Vergleichbar ist das Instrument mit der vorher nach altem Recht geltenden Vorabkontrolle nach § 4d Absatz 5 BDSG a.F., die aber in der deutschen Praxis keine wirklich wichtige Rolle gespielt hatte.

Nach Artikel 35 DSGVO ist eine solche DSFA immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Was ist die Idee?

Der Gedanke dahinter ist, dass der Verantwortliche in bestimmten Risikofällen vorher abwägen soll, was er da für eine neue Datenverarbeitung plant und, welche Folgen diese ganz konkret für die Betroffenen haben kann.

Und was das Problem?

Das Problem mit der DSFA: viele wissen nicht, dass sie eine DSFA brauchen. Und, wenn sie es wissen, dann wissen sie oft nicht, wie genau eine solche DSFA aussehen muss.

Nach Aussage der niedersächsischen Landesdatenschutzbeauftragten Thiel ist bei der Auswertung ihrer Fragebögen an 50 befragte Unternehmen insbesondere aufgefallen, dass keine oder nur unzureichende Datenschutzfolgenabschätzungen erfolgt sind.

Blacklists beachten

Die Datenschutzbehörden haben mittlerweile nach und nach die nach DSGVO zu erstellenden Blacklists veröffentlicht. Darin sollte jeder Verantwortliche nachschauen, wann die Aufsichtsbehörden auf jeden Fall die Durchführung einer Datenschutzfolgenabschätzung verlangen. Aber Vorsicht: Taucht Ihre geplante Datenverarbeitung dort nicht auf, heißt das nicht, dass Sie keine DSFA brauchen. Die Prüfung nach Artikel 35 DSGVO muss in jedem Fall eigenständig durchgeführt werden. Und wird die Pflicht zur Abschätzung bejaht, muss sie auch durchgeführt werden.

Die Aufsichtsbehörden werden bei ihren Prüfungen mit Sicherheit einen Schwerpunkt bei der Datenschutzfolgenabschätzung setzen.

PIA-Tool

Übrigens: Eine Datenschutzfolgenabschätzung (englisch: Privacy Impact Assessment – PIA) lässt sich methodisch gut mit dem sog. PIA-Tool durchführen. Das ist eine von der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL)  bereitgestellten Software, die kontinuierlich weiterentwickelt wird. Die deutsche Übersetzung wurde in Abstimmung mit dem Bayerischen LDA erarbeitet. Das PIA-Tool kann unter der Open-Source Lizenz GPL v3.0 von jedem Verantwortlichen kostenlos verwendet werden (Der Quelltext des PIA-Tools ist im GitHub-Repository unter https://github.com/kosmas58/pia-app/releases hinterlegt).

Sie sind sich nicht sicher, ob Sie eine DSFA brauchen? Sie wissen nicht, wie Sie eine taugliche DSFA durchführen? Rufen Sie mich an oder schreiben Sie mir eine Mail. Ich unterstütze Sie gerne.

Timo Schutt
Datenschutz-Berater
Fachanwalt für IT-Recht