Rz. 40
Die DSGVO regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein. Dies bedeutet: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sogenannte Datenschutz-Folgenabschätzung (DSFA) vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Über das Instrumentarium der DSFA sollen Risiken beschrieben, bewertet und reduziert werden. Die DSFA ist durchzuführen, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie befasst sich insbesondere mit Abhilfemaßnahmen, durch die der Schutz personenbezogener Daten sichergestellt und die Einhaltung der DSGVO nachgewiesen werden kann.
Rz. 41
Eine DSFA ist beispielsweise immer durchzuführen, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (sensible Daten) durch den Verantwortlichen vorgesehen ist. Was unter dem Begriff der sensiblen Daten zu verstehen ist bestimmt Art. 9 DSGVO. Hierzu gehören z. B. Daten, aus denen sich die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen oder eine Gewerkschaftszugehörigkeit ableiten lassen. Ebenso fallen Gesundheitsdaten oder Daten, die Rückschlüsse auf die sexuelle Orientierung einer Person zulassen, unter die besonderen Kategorien personenbezogener Daten und damit unter den Begriff der sensiblen Daten.
Rz. 42
Sensible Daten werden z. B. im Einkommensteuerrecht an verschiedenen Stellen erhoben. So können nach § 10 EStG Beiträge zur Krankenversicherung als Vorsorgeaufwendungen oder nach § 33 EStG Krankheitskosten als außergewöhnliche Belastungen angesetzt werden. Diese Daten können gehören zu den Gesundheitsdaten, die besonders schützenswert sind. Gewerkschaftsbeiträge sind nach § 9 EStG Werbungskosten und nach Art. 9 Abs. 1 DSGVO besonders sensible Daten, da aus ihnen unmittelbar die Zugehörigkeit zu einer Gewerkschaft hervorgeht. Parteispenden können auch steuermindernd geltend gemacht werden und lassen insoweit einen direkten Rückschluss auf die politische Ausrichtung des Steuerpflichtigen zu. Aus der Inanspruchnahme des Splittingtarifs bei eingetragenen Lebenspartnerschaften können Rückschlüsse auf deren sexuelle Orientierung gezogen werden. Diese beispielhafte Aufzählung verdeutlicht, dass im von der Finanzverwaltung zahlreiche sensible Daten der Stpfl. verarbeitet werden. Diese sensiblen Daten genießen in der DSGVO einen höheren Schutz als "normale" personenbezogene Daten. Ist somit eine umfangreiche Verarbeitung von sensiblen Daten vorgesehen, ist immer eine DSFA durchzuführen.
Rz. 43
Eine DSFA ist vor der Aufnahme der zu betrachtenden Verarbeitungsvorgänge durchzuführen. Auch bereits bestehende Verarbeitungsvorgänge können unter die Pflicht einer DSFA fallen. Die formellen Anforderungen an die Durchführung einer DSFA ergeben sich aus Art. 35 DSGVO. Im Hinblick auf die Auskunftspflicht des Verantwortlichen gegenüber der Datenschutzaufsicht sind die Ergebnisse der DSFA zu dokumentieren. Eine DSFA ist kein einmaliger Vorgang. Ergeben sich z .B. neue Risiken ist die DSFA entsprechend anzupassen.
Rz. 44
Für die Durchführung der DSFA hat der Verantwortliche außerdem den Rat des (behördlichen) Datenschutzbeauftragten einzuholen. Dies führt aber nicht dazu, dass damit die Verantwortlichkeit für die Verarbeitungstätigkeit auf den Datenschutzbeauftragten übergeht. Dieser hat weiterhin lediglich eine beratende Funktion.