Datenschutz-Folgenabschätzung

Die bisherige Vorabkontrolle (§ 7 Abs. 3 NDSGalt) wird durch die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 EU-DSGVO (bzw. nach Art. 39 des novellierten NDSG) abgelöst. Diese ist durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko für personenbezogene Daten verursacht, insbesondere beim Einsatz neuartigen Technologien oder bei der Verarbeitung von besonders sensiblen Daten mit einem entsprechend hohen Risiko.

Die Prüfung, ob aufgrund der Form der Verarbeitung vermutlich ein hohes Risiko für personenbezogene Daten besteht und daher ggf. eine DSFA durchgeführt werden muss, ist bereits im Rahmen der Dokumentation von Verarbeitungstätigkeiten (s. "Verzeichnis von Verarbeitungstätigkeiten") durchzuführen. Sofern ein hohes Risiko besteht, jedoch bislang noch keine Vorabkontrolle erfolgt ist, muss eine DSFA gemäß Art. 35 EU-DSGVO durchgeführt werden. Die Durchführung ist als iterativer Prozess zu sehen, durch den gewährleistet wird, dass eine ständige Anpassung der DSFA an veränderliche Risiken und Verfahren gegeben ist. Handelt es sich um einen neuen Verarbeitungsvorgang, muss die Erforderlichkeitsprüfung und die eventuelle DSFA vor Aufnahme der Verarbeitungstätigkeit durchgeführt werden.

Die Abwägung und Entscheidung darüber, ob bei einem erkennbar hohen Risiko für die Rechte und Freiheiten natürlicher Personen eine DSFA erforderlich ist oder nicht, ist durch den Verantwortlichen der Verarbeitung (i.d.R. der "Verfahrenseigner") im Rahmen der Rechenschaftspflicht schriftlich zu dokumentieren. Führt eine DSFA zu dem Ergebnis, dass trotz der zu treffenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten weiterhin ein hohes Risiko für die Betroffenen besteht, ist vor der Verarbeitung zudem die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) zu konsultieren (Art. 36 EU-DSGVO).

Eine nicht-abschließende Liste mit Verarbeitungs­tätigkeiten, bei denen eine DSFA durchzuführen ist, wurde von der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) veröffentlicht (Muss-Liste). Bereits durchgeführte Vorabkontrollen gemäß § 7 Abs. 3 NDSGalt müssen, solange sich die ermittelten Risiken nicht ändern, nicht in Form einer DSFA wiederholt werden, sondern genießen Bestandsschutz.

Eine vorläufige Orientierungshilfe zur Erforderlichkeitsprüfung und Durchführung einer Datenschutz-Folgenabschätzung ist hochschulintern hier aufrufbar.

Weiterführende Informationen zum Thema Datenschutz-Folgenabschätzung bzw. Vorrausetzungen für diese, sind auf der Seite der Bitkom und der GDD erhältlich, sowie im Kurzpapier Nr. 5 der LfD ("Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO") nachzulesen.
Eine ausführliche Darlegung der Thematik finden Sie außerdem im wp 248, das Sie bspw. auf der Seite des BfDI herunterladen können.


Glossar