Mit dem DSFA-Prozess soll gewährleistet werden, dass die Verantwortlichen die Risiken „riskanter“ Verarbeitungsprozesse in Bezug auf die Privatsphäre und den Datenschutz angemessen berücksichtigen. Durch eine strukturierte Herangehensweise an die Risiken für die betroffenen Personen und deren Eindämmung helfen Datenschutz-Folgenabschätzungen den Organisationen, die Anforderung des „Datenschutzes durch Technik“ zu erfüllen, wo sie am dringendsten benötigt wird, d. h. bei „riskanten“ Verarbeitungsvorgängen.
Eine DSFA ist insbesondere erforderlich für:
- die systematische und umfassende Bewertung persönlicher Aspekte im Zusammenhang mit natürlichen Personen, die auf einer automatisierten Verarbeitung einschließlich Profiling beruhen und rechtliche Auswirkungen auf die natürliche Person entfalten oder in ähnlicher Weise erhebliche Auswirkungen auf die natürliche Person haben;
- die umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten nach Artikel 10 oder von personenbezogenen Daten zu strafrechtlichen Verurteilungen und Straftaten nach Artikel 11 oder
- die groß angelegte systematische Überwachung eines öffentlich zugänglichen Bereichs.
Der Europäische Datenschutzbeauftragte hat eine Vorlage erstellt, die es den Verantwortlichen ermöglicht, zu beurteilen, ob sie eine DSFA durchführen müssen [Anhang 6 zu Teil I des Instrumentariums für die Rechenschaftspflicht]. Darüber hinaus hat der EDSB eine offene Liste von Verarbeitungsvorgängen erstellt, die der Anforderung einer DSFA unterliegen. In der Liste sind die üblichen Verarbeitungsvorgänge aufgeführt, die Datenschutz-Folgenabschätzungen erfordern, was den Verantwortlichen Zeit spart:
(a) Eine systematische und umfassende Bewertung persönlicher Aspekte im Zusammenhang mit natürlichen Personen, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhen und auf die Entscheidungen gegründet werden, die rechtliche Auswirkungen auf die natürliche Person entfalten oder in ähnlicher Weise erhebliche Auswirkungen auf die natürliche Person haben;
(b) eine umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten nach Artikel 10 oder von personenbezogenen Daten zu strafrechtlichen Verurteilungen und Straftaten nach Artikel 11 oder
(c) eine groß angelegte systematische Überwachung eines öffentlich zugänglichen Bereichs.
Die Bewertung muss mindestens folgende Angaben enthalten:
- Eine systematische Beschreibung der vorgesehenen Verarbeitungsvorgänge und des Verarbeitungszwecks;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Artikel 39 Absatz 1 der Verordnung 2018/1725 und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Datenverarbeitung im Einklang mit der Datenschutz-Folgenabschätzung erfolgt, zumindest dann, wenn sich das mit Verarbeitungsvorgängen verbundene Risiko ändert.
Wenn die Prüfer im Anschluss an die DSFA nicht sicher sind, ob die Risiken angemessen gemindert werden, sollten sie eine vorherige Konsultation gemäß Artikel 40 durchführen.