Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung (DSFA, in englisch: Data Protection Impact Assessment, DPIA) ist ein Verfahren zur Bewertung der potenziellen Auswirkungen einer vorgeschlagenen Verarbeitung auf die Privatsphäre von Personen. Gemäß Art. 35 DSGVO muss ein Verantwortlicher eine Datenschutz-Folgenabschätzung durchgeführen, wenn die Verarbeitung personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Der Zweck einer Datenschutzfolgenabschätzung besteht darin, potenzielle Risiken für die Privatsphäre natürlicher Personen, die sich aus der Verarbeitung personenbezogener Daten ergeben können, zu ermitteln und zu mindern. Auf diese Weise können Organisationen sicherstellen, dass sie personenbezogene Daten in einer Weise verarbeiten, die mit der DSGVO konform ist und die Rechte natürlicher Personen respektiert.

Bei der Durchführung einer Datenschutz-Folgenabschätzung sollte eine Organisation die Art, den Umfang, den Kontext und die Zwecke der vorgeschlagenen Verarbeitung sowie die Wahrscheinlichkeit und den Schweregrad potenzieller Risiken für die Privatsphäre von Personen berücksichtigen. Die Organisation sollte auch die Maßnahmen in Betracht ziehen, die sie zur Minderung dieser Risiken und zum Schutz der Privatsphäre von Personen ergreifen wird.

Die Datenschutz-Grundverordnung enthält eine Liste von Faktoren, die bei der Durchführung einer Datenschutz-Folgenabschätzung berücksichtigt werden sollten, darunter:

  • Der Zweck der Verarbeitung und die berechtigten Interessen, die von dem für die Verarbeitung Verantwortlichen oder einem Dritten verfolgt werden;
  • Die Art der personenbezogenen Daten, insbesondere ob Besondere Kategorien personenbezogener Daten oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden;
  • der vorgesehene Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder die Kriterien für die Festlegung dieses Zeitraums;
  • die Wahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten von Personen;
  • die vorgeschlagenen Maßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsmaßnahmen und Mechanismen zur Gewährleistung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung der Datenschutz-Grundverordnung (insbesondere Technische und organisatorische Maßnahmen im Sinne des Art. 32 DSGVO); und
  • die besonderen Umstände der Verarbeitung, einschließlich der Größe, des Umfangs und der Ressourcen des für die Verarbeitung Verantwortlichen sowie des Kontextes, in dem die Verarbeitung stattfindet.

Die Ergebnisse einer Datenschutzfolgenabschätzung sollten dokumentiert und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. In einigen Fällen kann die Aufsichtsbehörde von einer Organisation die Durchführung einer Datenschutzfolgenabschätzung verlangen, bevor sie mit der Verarbeitung personenbezogener Daten beginnen kann.

Insgesamt ist das DPIA-Verfahren ein wichtiges Instrument für Organisationen, um die potenziellen Auswirkungen ihrer Verarbeitungsvorgänge auf die Privatsphäre von Personen zu bewerten und die Einhaltung der DSGVO sicherzustellen. Es hilft Organisationen, potenzielle Risiken für die Privatsphäre natürlicher Personen frühzeitig zu erkennen und anzugehen und geeignete Maßnahmen zu ergreifen, um diese Risiken zu mindern. Auf diese Weise können Organisationen ihr Engagement für den Schutz der Privatsphäre natürlicher Personen und für die Einhaltung ihrer Verpflichtungen im Rahmen der Datenschutz-Grundverordnung unter Beweis stellen.

Drucken/exportieren
QR-Code
QR-Code Datenschutz-Folgenabschätzung (erstellt für aktuelle Seite)