Datenschutz-Folgenabschätzung
Eine formelle Bewertung, die vor Verarbeitungstätigkeiten erforderlich ist, die voraussichtlich hohe Risiken für die Rechte und Freiheiten von Personen mit sich bringen.
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Verfahren gemäß Artikel 35 der DSGVO zur Bewertung und Minderung der Risiken vorgeschlagener Datenverarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringen. Eine DSFA ist obligatorisch, wenn die Verarbeitung eine systematische und umfassende Profilbildung mit erheblichen Auswirkungen, eine umfangreiche Verarbeitung sensibler Daten oder eine umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche (wie Videoüberwachung) umfasst. Aufsichtsbehörden können auch Listen zusätzlicher Verarbeitungsvorgänge veröffentlichen, die eine DSFA erfordern.
Eine DSFA muss eine systematische Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf die Zwecke, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und die zur Bewältigung dieser Risiken geplanten Maßnahmen enthalten. Der Rat des DSB muss während des DSFA-Prozesses eingeholt werden. Ergibt die Bewertung, dass die Verarbeitung ein hohes Risiko mit sich bringen würde, das nicht gemindert werden kann, muss die Organisation die Aufsichtsbehörde vor der Durchführung konsultieren. DSFAs sollten überprüft und aktualisiert werden, wenn sich die Verarbeitungsvorgänge ändern.