Art. 35 DSGVO verpflichtet Unternehmen zu einer sog. "Datenschutz-Folgenabschätzung". Diese muss durchgeführt werden, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Solche Fälle sind z. B.
- die Bewertung und Einstufung (Scoring) einschließlich Prognosen und Profilerstellung,
- sensible personenbezogene Daten "besonderer Kategorie", wie z. B. Gesundheitsdaten, Daten zum Sexualleben oder Gewerkschaftszugehörigkeit (in Art. 9 DSGVO genannt) und bspw. strafrechtliche Verurteilungen (in Art. 10 DSGVO genannt),
- Datentransfers in Länder außerhalb der EU.[1]
In solchen Fällen ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.
Die Folgenabschätzung muss laut Art. 35 Abs. 7 DSGVO zumindest Folgendes enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Dieser Inhalt ist unter anderem im Haufe Steuer Office Excellence enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen