07103 Die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO
|
Es gibt wenig andere Bereiche in der EU-Datenschutz-Grundverordnung, bei denen mehr Diskussionen entstehen sowie Unsicherheit in der Anwendung besteht, wie bei der sogenannten Datenschutz-Folgenabschätzung. Dies verwundert ein wenig, da es sich bei der Datenschutz-Folgenabschätzung ja im Prinzip um eine Fortführung der schon im alten Recht bekannten Vorabkontrolle handelt. Doch wie bereits bei der Vorabkontrolle kommen auch im Rahmen der Datenschutz-Folgenabschätzung ähnliche Fragen auf, die es jedoch vor dem Hintergrund der neuen Regelungen der Datenschutz-Grundverordnung möglicherweise unterschiedlich zu beantworten gilt. Daher lässt sich schon sagen, dass es sich bei der DSFA doch um etwas „Neuartiges” handelt, das durchaus das Zeug hat, in gewisser Weise zu einem Umdenken bei Unternehmen zu führen.
Der Beitrag beschreibt das Konstrukt der Datenschutz-Folgenabschätzung und beantwortet die Fragen, was der Begriff bedeutet, wann sie nötig ist und durch wen und wie sie durchgeführt werden sollte. von: |
1 Einführung
Fragestellungen
Zunehmend wird in den einschlägigen Medien, auf Veranstaltungen etc. die Frage aufgeworfen, ob ein Unternehmen aufgrund der Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchführen muss. Vielfach wird dabei das Thema DSFA zwar angerissen, aber in den seltensten Fällen werden konkrete Ausführungen bspw. dazu gemacht, was dieser sperrige Begriff eigentlich bedeutet, wann eine DSFA nötig ist und ganz besonders auch, durch wen eine DSFA wie durchgeführt werden sollte.
Zunehmend wird in den einschlägigen Medien, auf Veranstaltungen etc. die Frage aufgeworfen, ob ein Unternehmen aufgrund der Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchführen muss. Vielfach wird dabei das Thema DSFA zwar angerissen, aber in den seltensten Fällen werden konkrete Ausführungen bspw. dazu gemacht, was dieser sperrige Begriff eigentlich bedeutet, wann eine DSFA nötig ist und ganz besonders auch, durch wen eine DSFA wie durchgeführt werden sollte.
Unwegsames Gelände
Dass das Thema im Rahmen der DSGVO der Vollständigkeit halber zwar immer genannt, aber nie eingehend thematisiert wird, ist auch nicht verwunderlich. Denn es handelt sich meiner Ansicht nach um einen nur schwer vollständig greifbaren, hochkomplexen, bisher noch wenig thematisierten Bereich des Datenschutzes, um den gerne ein weiter „Bogen” gemacht wird.
Dass das Thema im Rahmen der DSGVO der Vollständigkeit halber zwar immer genannt, aber nie eingehend thematisiert wird, ist auch nicht verwunderlich. Denn es handelt sich meiner Ansicht nach um einen nur schwer vollständig greifbaren, hochkomplexen, bisher noch wenig thematisierten Bereich des Datenschutzes, um den gerne ein weiter „Bogen” gemacht wird.
Im Prinzip weiß daher derzeit eigentlich noch keiner so wirklich, wie man mit einer DSFA in der Praxis umgehen muss. Um dem Leser eine kleine Vorstellung davon zu geben, was eine DSFA ist und was möglicherweise auf Unternehmen zukommen könnte, wenn ein von ihnen geplanter Verarbeitungsvorgang die Notwendigkeit zur Durchführung einer DSFA auslöst, sollen im Nachfolgenden die wichtigsten Aspekte zur DSFA dargestellt und erläutert werden.
