Wann ist eine Datenschutz-Folgenabschätzung (DSFA) obligatorisch? - AmicusData

Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschließlich Profiling;
2. umfangreiche Verarbeitung sensibler Daten;
3. systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Nationale Datenschutzbehörden können in Abstimmung mit dem Europäischen Datenschutzausschuss Listen der Fälle bereitstellen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Wenn weiterhin ein Risiko besteht, das nicht durch die durchgeführten Maßnahmen eingedämmt werden kann, muss die Datenschutzbehörde vor der Verarbeitung konsultiert werden. 

Beispiele

Datenschutz-Folgenabschätzung erforderlich

Eine Bank prüft ihre Kunden mithilfe einer Datenbank für die Kreditauskunft; ein Krankenhaus führt in Kürze eine neue Datenbank für Gesundheitsinformationen mit den Gesundheitsdaten seiner Patienten ein; ein Busunternehmen beabsichtigt, an Bord Kameras einzurichten, um das Verhalten seiner Fahrer und Fahrgäste zu überwachen. Datenschutz-Folgenabschätzung nicht erforderlich

Ein Gemeindearzt verarbeitet die personenbezogenen Daten seiner Patienten. Hier ist keine Datenschutz-Folgenabschätzung erforderlich, da die Verarbeitung durch Gemeindeärzte bei einer übersichtlichen Anzahl an Patienten nicht in großem Umfang erfolgt.

© Europäische Union, 1995-2022