Die Datenschutzfolgeabschätzung (DSFA) ist ein Instrument der vorbeugenden inhaltlichen Risikobewältigung. Sie ist in Art. 35 DSGVO umfassend geregelt.
Sie dient dazu, Risiken bei bestimmten Verarbeitungen im Unternehmen zu erkennen und mit entsprechenden Gegenmaßnahmen einzudämmen, um mögliche Verletzungen bereits von Anfang an zu begrenzen.
Grund für eine Datenschutzfolgeabschätzung ist, dass sich aus der Verarbeitung personenbezogener Daten erhebliche Risiken für die Rechte und Freiheiten natürlicher Personen ergeben.
Ob eine Abschätzung erforderlich ist, ist nicht immer einfach zu bestimmen. Die Datenschutzbehörden haben aber als Entscheidungshilfe Bespielfälle für Verarbeitungen erstellt, die eine DSFA notwendig machen (sog. Blacklist). Beispielsweise ist die Liste des Hamburger Beauftragten für Datenschutz und Informationsfreiheit unter https://datenschutz-hamburg.de/dsgvo-information/art-35-mussliste-nicht-oeffentlich/ abrufbar. Die Einordnung der eigenen Verarbeitungen sollte jeweils individuell erfolgen. Immerhin stellt sich immer die Frage, ob die konkreten Verarbeitungen jeweils mit denen in der Liste aufgeführten Verarbeitungen vergleichbar sind. Hier ist eine juristische Beratung dringend zu empfehlen.
Stellt sich später heraus, dass eine DSFA notwendig war und ist diese nicht durchgeführt worden, so kann dies einen schweren Verstoß gegen das Datenschutzrecht darstellen.
Die DSFA ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann (Art. 35 Abs. 1, 7 DSGVO sowie Erwägungsgrund Nr. 84, 90 zur DSGVO). Da auch Verarbeitungsvorgänge, die bereits vor Inkrafttreten der DSGVO aufgenommen wurden, unter die Pflicht einer DSFA fallen können (vgl. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK), Kurzpapier Nr. 5: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, https://www.lda.bayern.de/media/dsk_kpnr_5_dsfa.pdf) sind auch Verarbeitungen zu bewerten, die bereits vor dem Inkrafttreten der DSGVO eingeführt wurden. Gerade wenn Verarbeitungen schon seit längerem im Einsatz sind, kann das für eine Notwendigkeit der DSFA sprechen. Dies kann ein guter Anlass sein, um die eingelebten Strukturen zu hinterfragen und gegebenenfalls zu aktualisieren, da gerade in der Sicherheitstechnik sich immer wieder Neuerungen ergeben. Zudem bezieht eine DSFA auch zurückliegende mögliche Zwischenfälle mit ein, anhand derer dann geprüft wird, ob man Gegenmaßnahmen ergriffen hat, oder noch ergreifen muss und datenschutzrechtlich relevante Ereignisse zukünftig zu vermeiden.
Zusammenfassend handelt es sich also um eine vorbeugende Risikoanalyse. Sie hilft nicht nur Haftungsrisiken im Fall von behördlichen Prüfungen zu vermeiden, sondern dient auch der kritischen Selbstbetrachtung der eigenen Arbeitsabläufe. Häufig ergeben sich daraus im Verlauf der Erstellung einer Abschätzung Fragestellungen, die Verbesserungsmöglichkeiten in Sachen Datenschutz aufzeigen können.
Die Datenschutzfolgeabschätzung hat also auch hinsichtlich der eigenen Evaluierung in Sachen Datenschutz einen erheblichen Mehrwert für das Unternehmen. Auch solche Maßnahmen können in der Vermarktung gegenüber Kunden eine wichtige Rolle spielen.