Mit der EU Datenschutz-Grundverordnung (DSGVO/GDPR) wurde gemäss Art. 35 DSGVO das Instrument der Datenschutz-Folgenabschätzung (DSFA/DPIA) eingeführt. Vereinfacht gesagt, handelt es sich dabei um eine Beschreibung, Bewertung und Eindämmung von Risiken für bestimmte Datenverarbeitungen.
Im Sinne einer Generalklausel ist eine DSFA immer dann durchzuführen, wenn die Verarbeitung personenbezogener Daten „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Ausserdem ist die DSFA bei Datenverarbeitungen gemäss Art. 35 Abs. 3 DSGVO durchzuführen.
Zu den Voraussetzungen sowie zur Durchführung der DSFA wurden zwischenzeitlich zahlreiche Guidelines von Behörden, Verbänden sowie weiteren Interessengruppen veröffentlicht. Einige Beispiele werden nachfolgend aufgeführt:
(i) EU: Art.-29-Datenschutzgruppe (WP29) - Guidelines on Data Protection Impact Assessment (DPIA): Link
(ii) Schweiz: EDÖB - Raster zur Datenschutz-Folgenabschätzung: Link
(iii) Schweiz: Datenschutz Self Assessment Tool (DSAT) von David Rosenthal und David Vasella: Link
(iv) Österreich: Privacy Officers - Datenschutz-Folgenabschätzung/Durchführung einer DSFA am Beispiel Videoüberwachung: Link
(v) Deutschland: der Bayerische Landesbeauftragte für den Datenschutz - Datenschutz-Folgenabschätzung/eine Orientierungshilfe: Link
(vi) Deutschland: Datenschutzkonferenz DSK - Kurzpapier Nr. 5 zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO: Link
(vii) Deutschland: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) - Liste von Verarbeitungsvorgängen gemäß Artikel 35 Absatz 4 DSGVO: Link
(viii) Deutschland: Bitkom - Risk Assessment & Datenschutz-Folgenabschätzung Leitfaden: Link
(ix) UK: Information Commissioner’s Office (ICO) - Data protection impact assessments: Link
(x) Frankreich: Commission Nationale de l’Informatique et des Libertés (CNIL) - PIA Guides: Link
Michal Cichocki
Im Sinne einer Generalklausel ist eine DSFA immer dann durchzuführen, wenn die Verarbeitung personenbezogener Daten „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Ausserdem ist die DSFA bei Datenverarbeitungen gemäss Art. 35 Abs. 3 DSGVO durchzuführen.
Zu den Voraussetzungen sowie zur Durchführung der DSFA wurden zwischenzeitlich zahlreiche Guidelines von Behörden, Verbänden sowie weiteren Interessengruppen veröffentlicht. Einige Beispiele werden nachfolgend aufgeführt:
(i) EU: Art.-29-Datenschutzgruppe (WP29) - Guidelines on Data Protection Impact Assessment (DPIA): Link
(ii) Schweiz: EDÖB - Raster zur Datenschutz-Folgenabschätzung: Link
(iii) Schweiz: Datenschutz Self Assessment Tool (DSAT) von David Rosenthal und David Vasella: Link
(iv) Österreich: Privacy Officers - Datenschutz-Folgenabschätzung/Durchführung einer DSFA am Beispiel Videoüberwachung: Link
(v) Deutschland: der Bayerische Landesbeauftragte für den Datenschutz - Datenschutz-Folgenabschätzung/eine Orientierungshilfe: Link
(vi) Deutschland: Datenschutzkonferenz DSK - Kurzpapier Nr. 5 zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO: Link
(vii) Deutschland: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) - Liste von Verarbeitungsvorgängen gemäß Artikel 35 Absatz 4 DSGVO: Link
(viii) Deutschland: Bitkom - Risk Assessment & Datenschutz-Folgenabschätzung Leitfaden: Link
(ix) UK: Information Commissioner’s Office (ICO) - Data protection impact assessments: Link
(x) Frankreich: Commission Nationale de l’Informatique et des Libertés (CNIL) - PIA Guides: Link
Michal Cichocki