Gratis
25. April 2017 - Artikel-29-Datenschutzgruppe

Datenschutz-Folgenabschätzung: 10 Kriterien zur Risikobewertung

Die Artikel-29-Datenschutzgruppe hat Leitlinien zur Datenschutz-Folgenabschätzung entworfen. Sie definieren, wann Unternehmen zwangsläufig eine Folgenabschätzung durchführen müssen.

Leitfaden zum Schutz persönlicher Daten Ein Leitfaden soll es einfacher machen, die Verpflichtung zur Folgenabschätzung zu definieren (Bild: cacaroot / iStock / Thinkstock)

DSGVO fordert Folgenabschätzung

Laut Artikel 35 der Datenschutz-Grundverordnung (DSGVO)  müssen Unternehmen und Institutionen vor einer Verarbeitung personenbezogener Informationen die Folgen abschätzen, die der Verarbeitungsvorgang mit sich bringt (Data Protection Impact Assessment; DPIA).

Leitfaden zur Beurteilung der Folgen

Für diesen Prozess hat die Artikel-29-Datenschutzgruppe (G29) den ersten Entwurf eines entsprechenden Leitfadens vorgelegt.

Funktion der Artikel-29-Datenschutzgruppe

Die G29 ist ein unabhängiges Beratungsgremium der Europäischen Kommission. Seine Aufgabe ist es, Informationen, Empfehlungen und Stellungnahmen zu Themen auszuarbeiten, die in puncto Datenschutz bei der Verarbeitung personenbezogener Daten in der Europäischen Gemeinschaft relevant sind.

10 Kriterien zur Risikobewertung

Der Leitfaden sieht vor, dass Unternehmen und Institutionen in bestimmten Fällen zwangsläufig eine Folgenabschätzung durchführen müssen. Für diese Fälle hat die G29 Beurteilungskriterien entwickelt.

Zehn dieser Merkmale hat die G29 im Leitfadenentwurf aufgeführt:

  1. Bewertung und Einstufung (Scoring) einschließlich Prognosen und Profilerstellung
  2. Automatische erfolgende Entscheidungen mit rechtlichen oder ähnlich signifikanten Auswirkungen für Betroffene
  3. Systematisches Monitoring
  4. Sensitive, insbesondere personenbezogene Daten
  5. Umfangreiche Datenmengen
  6. Vergleich oder Kombination von Datensätzen
  7. Daten ungeschützter Betroffener
  8. Einsatz innovativer Technologien oder neuartiger organisatorischer Lösungen
  9. Datentransfers in Länder außerhalb der EU
  10. Verhinderung, dass die betroffene Person ein Recht ausüben oder eine Dienstleistung oder einen Vertrag ausführen kann

Verpflichtende Folgenabschätzung?

Je mehr eine Verarbeitung diese Kriterien erfüllt, desto verpflichtender hält die G29 eine Folgenabschätzung. Die Gruppe schlägt vor, dass eine Risikobewertung notwendig ist, sobald eine Verarbeitung zwei oder mehr Punkte erfüllt.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln