Birgt eine Verarbeitung ausgehend von einer Risikoprognose ein ausdrücklich: hohes Risiko für die Rechte und Freiheiten natürlicher Personen, hat der Verantwortliche vorab die Folgen für den Schutz personenbezogener Daten abzuschätzen (Datenschutz-Folgenabschätzung - DSFA). Hier zu hat er, soweit vorhanden, seinen Datenschutzbeauftragten zu Rate zu ziehen und ggf. den Standpunkt "Betroffener Personen" einzuholen. Soweit vorhanden, sind genehmigte Verhaltensregeln gem. Art. 40 DSGVO zu berücksichtigen. Trifft er keine Maßnahmen zur Eindämmung eines festgestellten hohen Risikos, konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde. Erachtet diese die geplante Verarbeitung als nicht im Einklang mit der DSGVO, unterbreitet sie binnen einer bestimmten Frist Empfehlungen. In der Regel wird sie die Verarbeitung dann untersagen. Im Zentrum dieser Regelung steht eine Risikoanalyse, wie sie für die DSGVO in zahlreichen Artikeln prägend ist. Neben der Fallvariante, des bestehenden hohen Risikos, gibt es weitere Fallgruppen, in denen der Verantwortliche möglicherweise eine DSFA durchführen muss. Z.B. wenn umfangreich Gesundheitsdaten verarbeitet werden.
Aufgrund der vielfältigen juristischen und technisch organisatorischen Fragestellungen ist die DSFA - wenn man Sie denn durchführen muss - eine der schwierigsten Aufgabenbereiche der DSGVO. Bisher scheuen Sie viele Unternehmen noch davor diese durchzuführen und setzten sich damit unnötigen Risken aus. Denn das unterlassen einer Datenschutz-Folgenabschätzung ist bußgeldbewehrt.
Wir unterstützen Sie vollumfänglich bei dem Prozess der Ersteinschätzung und Umsetzung der Datenschutz-Folgenabschätzung. Wichtig ist hier ein dem Risikoniveau angemessenen Umsetzungsgrad zu finden bzw. einen dokumentieren Entscheidungsprozess zu implementieren, in dem festgestellt und dokumentiert werden kann, wenn keine DSFA erforderlich ist. Ein angemessener und risikobasierte Datenschutz ist hier das Ziel, bei dessen Umsetzung wir Sie mit dem erforderlichen Fachwissen und best practice Ansätzen unterstützen.
