Bei Datenverarbeitungen, die die Rechte und Freiheiten eines Betroffenen besonders beeinträchtigen können, schreibt die Datenschutzgrundverordnung (DSGVO) nach Art. 35 die Durchführung einer Datenschutz-Folgenabschätzung vor. Entsprechende Regelungen finden sich auch in den Datenschutzgesetzen der Länder und Kirchen. Ob für eine Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich aus der Bewertung der Risiken der jeweiligen Verarbeitungsvorgänge. Kommt man bei der so genannten Schwellwertanalyse zum Ergebnis, dass für die Betroffenen ein voraussichtlich hohes Risiko besteht, ist eine Datenschutz-Folgenabschätzung durchzuführen. Ein hohes Risiko ist immer dann anzunehmen, wenn im Zusammenhang mit der Verarbeitungstätigkeit für den Betroffenen die Gefahr
- der Diskriminierung,
- des Identitätsdiebstahls oder -betrugs,
- des finanziellen Verlusts,
- der Rufschädigung,
- des Verlusts der Vertraulichkeit oder Kontrollmöglichkeit von Daten, die dem Berufsgeheimnis unterliegen und von besonderen Daten nach Art. 9 DSGVO (u.a. von Gesundheitsdaten) oder von Profiling-Daten
besteht.
Für die Durchführung der Datenschutz-Folgenabschätzung ist jeweils der für die Datenverarbeitung Verantwortliche zuständig. Der Datenschutzbeauftragte unterstützt hierbei beratend.
zurück zum Newsletter Datenschutz
weiter zum Beitrag "Wichtigste Grundlage: eine kritische Risikobewertung im Vorfeld"
