Die Datenschutz-Grundverordnung (DS-GVO) sagt in Artikel 35 Abs. 1 folgendes aus: „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Eine DSFA ist vor Beginn der geplanten Verarbeitungstätigkeit durchzuführen. Die Kriterien für die Notwendigkeit der Durchführung einer DSFA sind
Die DSFA muss mindestens folgende Punkte enthalten:
Um das Risiko abzuschätzen, welches ein Verarbeitungsverfahren für die Rechte und Freiheiten betroffener Personen mit sich bringen könnte, werden folgende Schritte empfohlen:
Um die Risiken eines Verarbeitungsverfahrens zu indexieren, sollte eine Risikomatrix erstellt werden. Aus den nachfolgenden Tabellen „Eintrittswahrscheinlichkeit“ und „Schwere/Schaden“ wird der jeweils ermittelte Grad in die Risikomatrix übertragen.
Gemeinsam mit Ihnen überprüfen wir, ob ein oder mehrere Kriterien zutreffen, die die Durchführung einer DSFA notwendig machen. Sollte sich die Notwendigkeit ergeben, dann stehen wir Ihnen dafür mit fachlichem Rat sowie den entsprechenden Tools und Hilfsmitteln gerne zur Verfügung.