Was bedeutet DPIA – Data Protection Impact Assessment?
„Data Protection Impact Assessment“ oder DPIA kann man auf Deutsch der sogenannten „Datenschutz-Folgenabschätzung“, kurz „DSFA“, gleichsetzen. Dabei wägt man ab, inwiefern eine Datenverarbeitung ein hohes Risiko für die Freiheiten und Rechte natürlicher Personen nach sich zieht, sodass der Datenschutz beeinträchtigt werden könnte.
Gemäß Artikel 35, Absatz 3 der DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, sobald:
- persönliche Aspekte natürlicher Personen automatisiert verarbeitet sowie umfassend und systematisch bewertet werden, damit Entscheidungen getroffen werden können, die gegenüber diesen Personen eine rechtliche Wirkung entfalten bzw. diese in ähnlich gravierender Weise beeinträchtigen;
- von personenbezogenen Daten besondere Kategorien (beispielsweise ethnische Herkunft, politische Meinungen, weltanschauliche oder religiöse Überzeugungen sowie genetische oder biometrische Daten) oder personenbezogene Daten über strafrechtliche Straftaten und Verurteilungen verarbeitet werden (darf nur unter behördlicher Aufsicht passieren oder wenn es nach Unionsrecht bzw. nach dem Recht der Mitgliedsstaaten zulässig ist);
- eine öffentliche Überwachung stattfindet, also öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden.
Welche Richtlinien müssen Unternehmen beachten, um DPIA Datenschutz korrekt umzusetzen?
Eine korrekte Datenschutz-Folgenabschätzung in Unternehmen muss mindestens die hier aufgeführten Kriterien enthalten:
- Eine exakte Beschreibung sowohl der geplanten Verarbeitungsvorgänge, der Verarbeitungszwecke, der automatisierten Verarbeitung als auch der berechtigten Interessen des Verantwortlichen.
- Die Dokumentation von Notwendigkeit und Verhältnismäßigkeit der jeweiligen Erhebung personenbezogener Daten.
- Eine Evaluierung der Risiken, die für die Freiheiten und Rechte der Betroffenen entstanden sind.
- Die geplanten Abhilfemaßnahmen zur Bewältigung und Minderung dieser Risiken, wie beispielsweise Sicherheitsvorkehrungen und Garantien.
Und noch ein Tipp: Die DSFA gilt auch für personenbezogene Daten in Papierform!