Nach Art. 35 Abs. 1 DSGVO ist eine Datenschutz-Folgenabschätzung (DSFA) grundsätzlich immer dann durchzuführen, wenn die Form einer Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Des Weiteren muss eine Aufsichtsbehörde nach Art. 35 Abs. 4 und 5 eine Liste der Arten von Verarbeitungstätigkeiten veröffentlichen, für die keine bzw. eine Datenschutz-Folgenabschätzung erforderlich ist.
In einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 7 DSGVO müssen zwingend folgende Aspekte berücksichtigt und dokumentiert werden:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Wir unterstützen Sie bei der Vorabkontrolle um zu prüfen, ob eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht. Ist eine Datenschutz-Folgenabschätzung für eine Verarbeitungstätigkeit erforderlich, unterstützen wir Sie darüber hinaus bei der gesetzkonformen Durchführung und Dokumentation der Datenschutz-Folgenabschätzung.