Gemäß Art. 35 Abs. 1 DS-GVO ist eine Datenschutz-Folgenabschätzung (DSFA) „insbesondere“ durchzuführen, wenn durch die Verwendung neuer Technologien, wobei Art, Umfang, Umstände und Zwecke der Datenverarbeitung zu berücksichtigen sind, voraussichtlich ein hohes Risiko besteht, dass Rechte und Freiheiten Betroffener verletzt werden. Art. 35 Abs. 2 nennt sodann Regelbeispiele für Datenverarbeitungen, bei denen eine Durchführungspflicht besteht.
Die Aufsichtsbehörden haben zudem gemäß Art. 35 Abs. 4 DS-GVO (im Rahmen ihres jeweiligen Zuständigkeitsbereichs) eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist. Art. 35 Abs. 5 DS-GVO enthält auch eine Ermächtigung der Aufsichtsbehörden, eine Liste mit Arten von Datenverarbeitungsvorgängen zu erstellen und zu veröffentlichen, bei denen explizit keine DSFAen durchgeführt werden müssen. Beide Listen sind an den in Art. 68 DS-GVO genannten Ausschuss (Europäischer Datenschutzausschuss) zu übermitteln.
Das WP 248 zur Datenschutz-Folgenabschätzung ist im Entwurfsstadium fertig und zur öffentlichen Diskussion durch die "Stakeholder" veröffentlicht.
Siehe https://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
oder https://ec.europa.eu/newsroom/document.cfm?doc_id=44137
Der Entwurf enthält einen 10-Punkte-Katalog anhand derer Verantwortliche sich bei der Bewertung orientieren können, ob eine Verarbeitung ein "hohes Risiko" im Sinne der Regelung aufweist.
Bis zum 23. Mai 2017 kann durch Interessierte fachlicher Input bei der Artikel-29-Gruppe erfolgen.
(Foto: © Maksim Kabakou/Fotolia.com)