Risikofolgenabschätzung nach der Datenschutz-Grundverordnung
Die Datenschutz-Folgenabschätzung nach der DSGVO ist eine Herausforderung für viele Unternehmen. Praxishilfen können dabei nützlich sein.
- Tobias Haar
Seit Ende Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) wirksam. Mit ihr zusammen ist auch die Neufassung des Bundesdatenschutzgesetzes (BDSG) in Kraft getreten. Es enthält Regelungen, bei denen die Verantwortlichen der DSGVO den einzelnen EU-Mitgliedstaaten bewusst einen Gestaltungsspielraum gelassen haben. Eine der zentralen Pflichten, mit denen sich Unternehmen im Rahmen der Verarbeitung personenbezogener Daten intensiv auseinandersetzen müssen, ist die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO. Insgesamt 11 Absätze legen die Vorgaben und auch die besondere Rolle der Aufsichtsbehörden für diesen Bereich fest.
Wie bei vielen Regelungen der DSGVO gab es eine ähnliche Pflicht bereits vor ihrem Wirksamwerden. § 4d Absatz 5 des BDSG, alte Fassung, regelte die sogenannte "Vorabkontrolle". Bei der Datenschutz-Folgenabschätzung handelt es sich aber nicht nur um alten Wein in neuen Schläuchen, sondern die Pflichten des "Verantwortlichen" wurden ausgeweitet und präzisiert.
Art. 35 Absatz 1 DSGVO lautet: "Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch." Es ist demnach eine sogenannte "Schwellwertanalyse" erforderlich. Entscheidend ist, ob für die Betroffenen ein "hohes Risiko" durch die Verarbeitung ihrer personenbezogenen Daten besteht. Soweit es beim Verantwortlichen einen Datenschutzbeauftragten gibt, muss dessen Rat bei der Durchführung der Datenschutz-Folgenabschätzung eingeholt werden (Art. 35 Abs. 2 DSGVO).
Das war die Leseprobe unseres heise-Plus-Artikels "Risikofolgenabschätzung nach der Datenschutz-Grundverordnung". Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.
