Gemäß der Richtlinie 95/46/EG waren Verarbeitungen personenbezogener Daten bei den Aufsichtsbehörden generell meldepflichtig. Diese Meldepflicht ist mit einem bürokratischen und finanziellen Aufwand verbunden und hat dennoch nicht in allen Fällen zu einem besseren Schutz personenbezogener Daten geführt.
Diese unterschiedslosen allgemeinen Meldepflichten sollen daher durch die DS-GVO abgeschafft und durch wirksame Verfahren und Mechanismen ersetzt werden, die sich stattdessen vorrangig mit denjenigen Arten von Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.
Zu solchen Arten von Verarbeitungsvorgängen gehören insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutz-Folgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutz-Folgenabschätzung notwendig geworden ist.
In derartigen Fällen sollte der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere dieses hohen Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung sollte sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Bestimmungen dieser Verordnung nachgewiesen werden soll.
In seinem 18. Papier aus der Reihe "Das BayLDA auf dem Weg zur Umsetzung der Verordnung" beleuchtet das BayLDA das Thema "Datenschutz-Folgenabschätzung (DSFA) - Art. 35 DS-GVO" und versucht die Methode einer Datenschutz-Folgenabschätzung (DSFA), englisch Privacy Impact Assessment (PIA) genannt, zu erhellen.
Dabei geht das Papier auf die Frage ein, wann eine DSFA durchzuführen ist und widmet dem für die DSFA wichtigen Begriff der Risikoanalyse. Unter Heranziehung des Erwägungsgrunds 75 der DS-GVO wird ebenfalls eine Antwort auf die Frage gesucht, was unter einem „Schaden bezüglich Rechte und Freiheiten“ zu verstehen ist. Neben der Skizzierung der Inhalte einer DSFA dürfte der Hinweis, dass diese nicht mit der bekannten Vorabkontrolle aus dem BDSG gleichgesetzt werden sollte, wichtig sein.
Für den Anwender ebenfalls wertvoll ist der Hinweis, dass sich momentan auf europäischer Ebene ein Working-Paper zur DSFA im Abstimmungsprozess befindet.
Bayerisches Landesamt für Datenschutzaufsicht
(Foto: © Sergey Nivens/Fotolia.com)