Datenschutzfolgenabschätzung

Datenschutzfolgenabschätzung – so ein Wort kann es nur im Deutschen geben… Was meint Datenschutzfolgenabschätzung? Wenn hohe Risiken für die Rechte und Freiheiten der Betroffenen bestehen, muss der Verantwortliche eine Abschätzung der Folgen der geplanten Verarbeitung durchführen. Dabei geht es in erster Linie um die Abschätzung der Folgen für die Rechte der Betroffenen. Sinnvoll ist es aber, auch die Risiken für das Unternehmen und ggf. beteiligte Dritte mitzubewerten.

Entscheidend ist, dass es sich um ein hohes Risiko handeln muss. Dies muss ein Unternehmen erst einmal selber beurteilen und entsprechend dokumentieren, anhand der eigenen Erfahrungswerte. Zwar soll die Aufsichtsbehörde eine Liste erstellen, wann eine Datenschutzfolgenabschätzung notwendig wird. Ob dies aber bis Mai nächsten Jahres erfolgt, kann noch nicht abgesehen werden.

Die EU-DSGVO sieht in Art. 35 Abs. 2 drei Fälle vor: Systematische und umfassende Bewertung persönlicher Aspekte einschließlich Profiling, umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten und die systematische, umfangreiche Überwachung öffentlicher Bereiche. Das heißt, bspw. bei Bonitätsprüfungen, gezielten Videoüberwachungen von Mitarbeitern und Auswertung von Krankheitsdaten wäre ein Assessment durchzuführen.

(Stephanie Iraschko-Luscher)

10.04.2017

MGDS – Ihre Unternehmensberatung für Datenschutz