INFORMATIONEN

Praktische Perspektiven für Datenschutz-Folgenabschätzungen

Die Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DFA) muss zu Beginn jeder Initiative oder Verbesserung einer aktuellen Struktur oder eines Verfahrens durchgeführt werden, die die Erfassung oder Verarbeitung personenbezogener Daten erfordert oder erfordern könnte und als risikoreich gilt.

Sie definiert Bedrohungen für die Datenschutzrechte von Einzelpersonen und/oder organisatorische Risiken (z. B. Nichteinhaltung der geltenden Datenschutzvorschriften) und legt gegebenenfalls die erforderlichen Schritte zur Verringerung dieser Risiken fest.

Um festzustellen, ob es sich um eine risikoreiche Verarbeitung handelt, für die eine Datenschutz-Folgenabschätzung erforderlich ist, müssen zunächst eine Reihe von Fragen gestellt werden, die Ihnen dabei helfen, das mit dem Projekt verbundene Risiko zu bestimmen.

Durchführung einer Datenschutz-Folgenabschätzung

Verwenden Sie das folgende Beispiel, um die DFA-Phase oder das Ergebnis zu protokollieren:

  • Laden Sie den Leitfaden für die Datenschutzfolgenabschätzung herunter.
  • Antworten auf DFA-Screening-Fragen und/oder ausgefüllte DFA können per E-Mail an den Datenschutzbeauftragten geschickt werden.
  • Ratschläge und Anweisungen zum Ausfüllen der Datenschutzfolgenabschätzung sind bei der Datenschutzbehörde erhältlich.
  • Weitere Ratschläge erhalten Sie auch vom Büro des Informationsbeauftragten.

    Beispiele für Fälle, in denen eine Umweltverträglichkeitsprüfung durchgeführt werden muss:

  • Einführung neuer Technologien oder Projekte, bei denen große Mengen personenbezogener Daten verarbeitet werden, wie z. B. HR Online und das Student Record System
  • Systeme oder Projekte, die auf breiter oder systematischer Basis kritische („besondere Kategorie“) personenbezogene Daten verarbeiten (z. B. Gesundheitskliniken)
  • Profiling von Daten über einzelne Gruppen oder kriminelle Aktivitäten, um Empfehlungen für den Zugang zu Programmen, Gelegenheiten oder Belohnungen auszusprechen (z. B. Aufforderung an alle Bewerber, ihre Vorstrafen anzugeben)
  • Verarbeitung personenbezogener Daten, die als „Profiling“ von Personen bezeichnet werden kann (z. B. Lernanalysen)
  • Verarbeitungen, bei denen Daten aus verschiedenen Quellen vermischt oder zusammengeführt werden und/oder verarbeitet werden, ohne dass die betroffenen Personen direkt über den Datenschutz informiert werden (z. B. zu Forschungszwecken, zur Überprüfung von Ehemaligen als potenzielle Spender oder zum Auslesen oder Sammeln personenbezogener Daten aus externen Quellen)
  • Jede automatische Erhebung personenbezogener Daten, die zu Entscheidungen über Personen ohne menschliches Feedback führt
  • Verarbeitung, die von der Gesellschaft als unglaublich invasiv angesehen wird (z. B. Videoüberwachung)
  • Erhebung personenbezogener Daten, die Kinder oder schutzbedürftige Erwachsene betreffen
  • Wenn ein Vertrag/eine Vereinbarung oder eine Vergabe es uns erlaubt, eine Datenschutz-Folgenabschätzung durchzuführen
  • Jegliche Verarbeitung biometrischer Daten, wie z. B. Fingerabdrücke oder Gesichtserkennung
  • Die Verarbeitung von Daten, die die körperliche oder geistige Gesundheit und das Wohlergehen der Person im Falle eines Sicherheitsverlustes gefährden können, umfasst beispielsweise Wellness-Informationen.