Die Datenschutzfolgenabschätzung (DFSA) ist ein Instrument des Datenschutzes zum Umgang mit neuartigen Technologien und Prozessen in einem Unternehmen, welches mit Geltung der europäischen Datenschutzgrundverordnung (DSGVO) im Art. 35 im Jahr 2018 neu eingeführt worden ist. Die DSFA (engl. PIA) ist eine umfassende Risikoanalyse für einen geplanten Verarbeitungsvorgang, die mit einer zugleich umfassend detaillierten und systematischen Beschreibung einhergeht und mit der Schaffung von geeigneten Maßnahmen [zur Minderung der zuvor ermittelten Risiken] abschließt Die Inhalte sind dabei sehr detailliert festgelegt und gemäß der ISO/IEC 29134:2017 durchzuführen.

Nach den gesetzlichen Vorgaben ist eine DFSA immer dann notwendig, wenn eine geplante Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge" hat (Art. 35 DSGVO). Wann ein solch hohes Risiko besteht, ist allerdings nicht einfach zu bestimmen, da die Vorgaben aus der DSGVO mit Angaben wie "umfangreiche Verarbeitung" oder "systematische und umfassende Bewertung" nicht eindeutig formuliert sind. Um ein wenig mehr Klarheit zu schaffen, hat die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz DSK) hierzu eine Liste mit Verarbeitungsvorgängen veröffentlicht, welche zwingend die Durchführung einer Datenschutzfolgenabschätzung auslösen. Diese Liste ist jedoch nicht abschließend. Zu den Prozessen, für die eine DSFA zwingend durchzuführen ist, gehören:

• Verarbeitung von biometrischen Daten (Fingerabdruck, Iris, etc.)
• Verarbeitung von genetischen Daten
• Verarbeitung von GPS-Daten (z.B. Mobilitätsdienste)
• Einsatz von Telemedizin
• Erstellung von Profilen (z.B. Erfassung von Kaufverhalten, Betrieb sozialer Netzwerke usw.)
• Verarbeitung, die auf ein Scoring abzielen (z.B. Auskunfteien, Banken, Versicherungen)
• etc.

Die komplette Liste des DSK können Sie hier herunterladen: Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder

Aufgrund der Komplexität und des Umfanges sowie des sich daraus ergebenden Aufwandes ist die Datenschutzfolgenabschätzung in Unternehmen oftmals auch ein Ressourcenproblem. Dies ist insbesondere dann der Fall, wenn intern benannte Datenschutzbeauftragte neben Ihrer Tätigkeit als DSB noch andere Aufgaben wahrnehmen.

Mit unserer Expertise können Sie einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO entspannt entgegensehen. Wir unterstützen Sie bei allen Schritten, von der Ermittlung einer Notwendigkeit über die Durchführung bis zur fertigen Folgenabschätzung. Selbstverständlich stehen wir Ihnen auch bei allen anderen Risikoanalysen und Risikoeinschätzungen rund um das Thema Datenschutz gern zur Verfügung.