Verantwortliche Stelle für den Abschluss der DFA
Die Datenschutzfolgenabschätzung sollte von dem für die Verarbeitung Verantwortlichen in einem frühen Stadium des datenverarbeitenden Unternehmens durchgeführt werden. Das Ziel der Datenschutzfolgenabschätzung ist es, das hohe Risiko zu erkennen. Wenn der für die Verarbeitung Verantwortliche nicht in der Lage ist, das Risiko zu minimieren, muss er sich an seine Aufsichtsbehörde wenden.
Von dem für die Verarbeitung Verantwortlichen wird erwartet, dass er einen Datenschutzbeauftragten (DSB) benennt. Der für die Verarbeitung Verantwortliche kann sich zunächst von seinem DSB beraten lassen, bevor er die Datenschutzfolgenabschätzung abschließt. Eine Organisation sollte einen behördlichen Datenschutzbeauftragten auf der Grundlage ihrer wichtigsten Verarbeitungsvorgänge benennen, die für die Erreichung der Ziele der Organisation von zentraler Bedeutung sind.
Bezeichnung des DSB
Eine Organisation muss einen behördlichen Datenschutzbeauftragten benennen, wenn ihre Haupttätigkeiten die „Erhebung vertraulicher personenbezogener Daten in großem Umfang oder eine Datenverarbeitungsmethode umfassen, die besonders weitreichend für die Rechte der betroffenen Personen ist“.
Der für die Verarbeitung Verantwortliche sollte die erforderliche Zeit aufwenden, um eine detaillierte Folgenabschätzung zu erstellen. Durch eine DFA kann das Projekt des für die Verarbeitung Verantwortlichen effektiv fortgesetzt und Verzögerungen vermieden werden. Die Umweltverträglichkeitsprüfung muss mindestens die folgenden Punkte umfassen:
Das UK Information Commissioner’s Office (ICO) hat eine DFA-Vorlage veröffentlicht, die dem für die Verarbeitung Verantwortlichen helfen soll, das DFA-Verfahren und das Ergebnis festzuhalten. Die Vorlage enthält eine Schritt-für-Schritt-Anleitung für das Ausfüllen der Datenschutzfolgenabschätzung.
Schritte zur Durchführung der DFA
Die Maßnahmen sind wie folgt:
Das ICO rät den für die Verarbeitung Verantwortlichen, den Entwurf für Schulungszwecke zu verwenden. Der für die Verarbeitung Verantwortliche kann die Vorlage vor Beginn eines neuen Projekts, das die Verarbeitung personenbezogener Daten beinhaltet, ausfüllen. Darüber hinaus kann der für die Verarbeitung Verantwortliche das Formular verwenden, wenn er eine größere Anpassung des Projekts vornimmt.
Die DSGVO sieht vor, dass die Datenschutzfolgenabschätzung modular und skalierbar ist. Nach Abschluss der Datenschutzfolgenabschätzung sollte der für die Verarbeitung Verantwortliche:
Eine Datenschutzfolgenabschätzung ermöglicht es dem für die Verarbeitung Verantwortlichen, ein hohes Risiko im Umgang mit personenbezogenen Daten zu erkennen, das nicht gemindert werden kann. Wenn dies der Fall ist, muss der für die Verarbeitung Verantwortliche seine Aufsichtsbehörde kontaktieren, bevor er mit der Verarbeitung beginnt.
Während eine Datenschutzfolgenabschätzung für Hochrisikoprojekte vorgeschrieben ist, wird die Erstellung einer Datenschutzfolgenabschätzung häufig als sichere Praxis für alle großen Projekte angesehen, bei denen personenbezogene Daten verarbeitet werden. Eine gut formulierte Datenschutzfolgenabschätzung gibt dem Auftraggeber den Beweis, dass sie vorliegt: