Methoden der Datenschutz-Folgenabschätzung
DP+

Bild: iStock.com / 4X-image
DSFA in der Praxis
Die DSGVO hat die DSFA eingeführt, um bei Hochrisikoverarbeitungen die Grundrechte der Bürger besser zu schützen. Während die Listen von Verarbeitungen, die eine Folgenabschätzung nötig machen, zunehmend vorhanden sind, fragt sich weiterhin, wie sich eine DSFA konkret durchführen lässt.
Verantwortliche müssen eine Datenschutz-Folgenabschätzung (DSFA) nicht immer, sondern nur bei einem wahrscheinlich hohen Risiko durchführen.
Eine DSFA ist allerdings nicht isoliert zu betrachten. Daher müssen Verantwortliche zunächst weitere Anforderungen der DSGVO einbeziehen:
- Privacy by Design: Die Grundsätze nach Artikel 5 Abs. 1 DSGVO wie Datensparsamkeit, Zweckbindung und die Gewährung der Betroffenenrechte müssen Verantwortliche mittels technischer und organisatorischer Maßnahmen (TOMs) umsetzen. Dann gilt es, die Risiken zu ermitteln, die eine nicht angemessene Umsetzung dieser Gewährleistungsziele mit sich bringt. Die zeitliche Betrachtung/Weiterentwicklung wird dann als Privacy by Design (Art. 25 DSGVO) verstanden. Ist das Restrisiko wahrscheinlich „hoch“, ist eine DSFA Pflicht.
- Sicherheit der Verarbeitung: 32 DSGVO regelt den Schutz der Vertraulichkeit sowie der Verfügbarkeit und Integrität von Daten, IT-Systemen und (Geschäfts-)Prozessen. Ist dieser Schutz für jede Verarbeitungstätigkeit korrekt aufgesetzt (ggf. mehrfach iterativ – Stichwort Plan–Do–Check–Act, also im PDCA-Zyklus), lässt sich das Restrisiko bewerten. Ist dieses wahrscheinlich „hoch“, dann ist eine DSFA Pflicht
…
zu den Kommentaren