Wer eine Datenverarbeitung plant, die voraussichtlich ein hohes Risiko für die Betroffenen mit sich bringt, hat künftig eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) vorzunehmen. Ergibt sich ein hohes Risiko, muss die Datenschutzaufsichtsbehörde konsultiert werden.
Ein hohes Risiko soll nahe liegen, wenn neue Technologien eingesetzt werden und ist zu unterstellen, wenn öffentlich zugängliche Bereiche überwacht, persönliche Aspekte natürlicher Personen systematisch bewertet oder sensible Daten verarbeitet werden sollen. Die Mindestanforderungen an die Folgenabschätzung sind: systematische Beschreibung der Vorgänge und Zwecke der Datenverarbeitung, zweckbezogene Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung sowie der Risiken für die Betroffenenrechte. Schließlich sind die geplanten Abhilfemaßnahmen darzustellen.
To-Do: Einen Ablauf organisieren! DS-FA erforderlich? Wenn ja: Beschreibung, Bewertung, Maßnahmenplanung. Bei hohem Risiko: Konsultation.
Weitere Beiträge zur DSGVO, sowie IT-Sicherheits-Themen, erscheinen monatlich in unserem Magazin-Newsletter: HK2 Der Rote Faden