Die ab Mai 2018 umzusetzenden Regelungen der Datenschutzgrundverordnung beinhalten einige „neue“ Bestandteile, so auch die Datenschutzfolgenabschätzung.

In Art. 35 DSGVO ist die Datenschutzfolgenabschätzung (DSFA) normiert;  sie ist ähnlich ausgerichtet wie die bisher in Deutschland im Bundesdatenschutz statuierte datenschutzrechtliche Vorabkontrolle in § 4 d Abs. 5 BDSG. Beide Instrumente verfolgen dieselbe Zielstellung. Aufzuklären ist, ob die Datenverarbeitung von besonders sensiblen Daten fähig ist, die Persönlichkeit des Betroffen, einschließlich seiner Leistungen und Fähigkeiten  oder seines Verhaltens zu bewerten (sogenanntes Profiling). Gleichfalls unterliegen spezifische automatisierte Verarbeitungen in welchen mit einer starken Beeinträchtigung datenrechtlicher Schutzaspekte zu rechnen ist, einer gesonderten Prüfverpflichtung (Gesundheitsdaten sowie systematische Videoüberwachung).

Mit der Überprüfung soll verhindert werden, dass sich Risiken für die Rechte und Freiheiten der Betroffenen ergeben. Aus dem Ergebnis der Stellungnahme soll sich die Rechtmäßigkeit der Datenverarbeitung ableiten lassen.

 I.   Wann ist die Datenschutzfolgenabschätzung durchzuführen?

Nach dem Verordnungstext ist eine Datenschutz-Folgenabschätzung gemäß ist insbesondere (Achtung nicht abschließende Aufzählung) in folgenden Fällen erforderlich:

•  systematische und umfassende Bewertungen persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gegründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
• umfangreiche Bewertungen persönlicher Aspekte umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder;
• systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Grundsätzlich hat die Datenschutzfolgenabschätzung einen erweiterten Anwendungsbereich als die jetzt schon bekannte Vorabkontrolle (vergleichbar einer Risikoklassifizierung mit nachgelagerte Interessenabwägung). Im Rahmen einer Konkretisierung ist geplant,  dass durch die Aufsichtsbehörden eine Liste von Verarbeitungen (Positivliste) herausgegeben wird.

 II. Welchen Umfang hat die Datenschutzfolgenabschätzung?

In Art. 35 Abs. 7 DSSGVO sind die Mindestanforderungen des Inhalts einer Datenschutzfolgenabschätzung dargelegt. Eine DFSA hat daher zumindest zu enthalten

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

 III.          Zusammenfassung

Als Fazit ist festzuhalten, dass die Datenschutzfolgenabschätzung eine qualifizierte Risikoabschätzung normiert, welche einzelfallbedingt die Auswirkungen von Datenverarbeitungen im Vorfeld analysieren und bewerten soll. Unter Berücksichtigung rechtlicher Vorgaben und den klassischen Aspekten der Datensicherheit wird ein weiteres prozessuales Instrument zur Wahrung des Datenschutzes geschaffen.

Im Tatsächlichen ist insbesondere die DSFA ein maßgeblicher Treiber zur Implementierung eines Datenschutzmanagementsystems (angelegt an die bekannten Grundsätze für die IT-Sicherheit). Unternehmen (und hierbei sind nahezu alle betroffen) sollten daher unverzüglich mit der Umsetzung bzw. Implementierung vergleichbarer Maßnahmen starten.