Eine Datenschutz-Folgenabschätzung (DFA) ist eine Methode, um die mit der Datenerhebung verbundenen Risiken für die Privatsphäre im Voraus zu bewerten. Artikel 35 und Artikel 36 verlangen die Durchführung der Datenschutz-Folgenabschätzung und in einigen Fällen eine vorherige Konsultation.
Datenschutz-Folgenabschätzung (DFA)
Angenommen, es besteht die Möglichkeit, dass eine neue Art der Verarbeitung (insbesondere beim Einsatz neuer Technologien) ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen könnte. In diesem Fall muss der für die Datenverarbeitung Verantwortliche eine Datenschutzfolgenabschätzung durchführen.
Dies ist hier der Fall:
Organisationen müssen nicht für alle Verarbeitungsvorgänge eine eigenständige Datenschutzfolgenabschätzung durchführen; eine einzige Datenschutzfolgenabschätzung kann eine Reihe identischer Verarbeitungsvorgänge mit ähnlich hohem Risiko abdecken.
Bei der Durchführung der Datenschutz-Folgenabschätzung muss der für die Verarbeitung Verantwortliche den Datenschutzbeauftragten (falls vorhanden) und die Meinung der betroffenen Personen oder ihrer Mitglieder (falls zutreffend) einholen.
Die Folgenabschätzung sollte mindestens folgende Punkte enthalten
Gibt es für eine solche Verarbeitung eine Rechtsgrundlage (im EU-Recht oder im Recht der Mitgliedstaaten), so gilt das Recht für eine bestimmte Verarbeitungstätigkeit oder für den Fall, dass die Datenschutzfolgenabschätzung bereits als Teil einer allgemeinen Folgenabschätzung durchgeführt wurde.
Das bedeutet, dass, wenn ein (EU- oder nationales) Gesetz die Verarbeitung von Daten vorschreibt und bei Inkrafttreten dieses Gesetzes eine Datenschutz-Folgenabschätzung durchgeführt wurde, keine Datenschutz-Folgenabschätzung erforderlich ist, bis die Aufsichtsbehörde anders entscheidet.
Vorherige Konsultation
Der für die Verarbeitung Verantwortliche ist gesetzlich verpflichtet, sich vor der Verarbeitung mit der Aufsichtsbehörde in Verbindung zu setzen, wenn aus der Datenschutzfolgenabschätzung hervorgeht, dass die Verarbeitung ohne Maßnahmen zur Risikominderung zu einem hohen Risiko führt.
Auf der Grundlage dieser Konsultation erteilt die Aufsichtsbehörde dem für die Verarbeitung Verantwortlichen eine schriftliche Empfehlung.
Der für die Verarbeitung Verantwortliche muss über die folgenden Angaben für eine vorherige Konsultation verfügen: