Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine strukturierte Risikoanalyse, die Unternehmen vor Einführung von Datenverarbeitungen durchführen müssen, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen zur Folge haben.
Ausführliche Erklärung
Die Datenschutz-Folgenabschätzung ist in Artikel 35 der DSGVO geregelt und stellt ein zentrales Instrument des risikobasierten Datenschutzansatzes dar. Sie verpflichtet Verantwortliche dazu, vor Beginn besonders risikoreicher Datenverarbeitungen systematisch zu prüfen, welche Folgen diese für den Schutz personenbezogener Daten haben. Die DSFA muss mindestens eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Abschätzung der Risiken für die Betroffenen sowie geplante Abhilfemaßnahmen enthalten.
Eine DSFA ist insbesondere erforderlich bei systematischer und umfassender Bewertung persönlicher Aspekte durch automatisierte Verarbeitung einschließlich Profiling, bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten oder bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche. Die Datenschutzbehörden haben hierzu verbindliche Listen veröffentlicht: In Österreich regelt die DSFA-Verordnung, welche Verarbeitungsvorgänge zwingend eine DSFA erfordern, während die DSFA-Ausnahmenverordnung Standardverarbeitungen wie Kundenverwaltung oder Rechnungswesen von dieser Pflicht ausnimmt.
Die Durchführung obliegt dem Verantwortlichen selbst, nicht dem Datenschutzbeauftragten. Ist jedoch ein Datenschutzbeauftragter bestellt, muss dieser zwingend an der DSFA beteiligt werden. Die DSFA ist kein einmaliger Vorgang, sondern erfordert regelmäßige Überprüfung und Anpassung, wenn sich Risiken ändern oder neue Technologien eingesetzt werden. Bei Verarbeitungen mit verbleibendem hohem Risiko trotz Schutzmaßnahmen muss die zuständige Datenschutzbehörde vor Beginn der Verarbeitung konsultiert werden.
Praxisbeispiel
Ein österreichisches IT-Beratungsunternehmen mit 35 Mitarbeitenden plant die Einführung eines KI-gestützten Bewerbermanagementsystems, das automatisiert Lebensläufe analysiert und Kandidat:innen bewertet. Da hier eine automatisierte Entscheidung mit erheblicher Auswirkung auf Betroffene vorliegt, führt das Unternehmen vorab eine DSFA durch, identifiziert Risiken wie potenzielle Diskriminierung und implementiert entsprechende Schutzmaßnahmen.
Quellen
- Art. 35 DSGVO – Datenschutz-Folgenabschätzung
- BfDI – Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen
- DSFA-V – Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist
- Datenschutzbehörde Österreich – Verordnungen in Österreich