Eine Verpflichtung zur Datenschutz-Folgenabschätzung (DSFA) besteht nur dann, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Nach Art. 35 Abs. 1 DSGVO ist eine DSFA grundsätzlich immer dann durchzuführen:

  • wenn persönliche Merkmale von Menschen systematisch und umfassend bewertet werden oder Datenverarbeitung vorgenommen wird und die Ergebnisse erhebliche Auswirkungen auf die Betroffenen haben.
  • bei Daten über rassische und ethnische Herkunft, politische Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Daten über Gesundheit, Sexualleben, sexuelle Orientierung.
  • bei Daten über strafrechtliche Verurteilungen.
  • bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Inhalte der DSFA:

  • Systematische Beschreibung der Verarbeitung, ihrer Zwecke und der damit verfolgten berechtigten Interessen
  • Bewertung der Notwendigkeit und der Verhältnismäßigkeit in Bezug auf den Zweck
  • Bewertung der Risken für die Rechte der Betroffenen (materieller, immaterieller Schaden)
  • Liste der Maßnahmen, die zur Verminderung dieser Risken getroffen werden (Verschlüsselung, Aufbewahrungsdauer, Sicherheitsmaßnahmen)
  • Darstellung, wie die Einhaltung der Regelung nachgewiesen wird.

Bei der Durchführung einer DSFA ist zudem stets der Rat des Datenschutzbeauftragten (sofern ein solcher benannt wurde) einzuholen (Art. 35 Abs. 2 DSGVO).

Unterlässt ein Verantwortlicher eine DSFA, obwohl sie geboten gewesen wäre, so drohen drastische Strafen (bis zu 10 Mio € oder 2 % des Jahresumsatzes).