Florian Padberg
Datenschutzbeauftragter
Jedes Unternehmen welches den Datenschutz wichtig nimmt, sollte ein durchdachtes und gut strukturiertes Datenschutzkonzept haben. In dem Dokument wird dokumentiert und bei Bedarf umfassend darüber Auskunft erteilt, wie das Unternehmen mit personenbezogenen Daten von der Erhebung, Verarbeitung bis hin zur Nutzung umgeht wird und wie der Datenschutz geregelt ist.
Muss eine DSFA durchgeführt werden, so ist in Deutschland ein Datenschutzbeauftragter zu bestellen. Dieser berät den Verantwortlichen oder Auftragsverarbeiter bei der Durchführung der Datenschutz-Folgeabschätzung und überwacht diese. Der Datenschutzbeauftragte übernimmt in diesem Prozess die Rolle des Betroffenen ein.
Eine Datenschutzfolgeabschätzung muss immer durchgeführt werden, wenn voraussichtlich ein hohes Risiko für den Betroffenen vorhanden ist. Vor allem unter der Berücksichtigung von neuen Technologien. Falls es mehrere ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken gibt, so ist es möglich nur eine DSFA für alle Vorgänge durchzuführen. Weitere Vorgänge, die eine Datenschutz-Folgeabschätzung voraus setzen, sind z.B. die umfangreiche Verarbeitung von besonderen Kategorien von Daten (Artikel 9),
Straftaten oder strafrechtlichen Verurteilungen (Artikel 10), systematische und weiträumige Videoüberwachung, umfassendes automatisiertes Profiling.
Hilfreich ist auch die Hinzubeziehung der so genannten Blacklist der Aufsichtsbehörden. Alle diese Prozesse sollten in einer DSFA betrachtet werden.
Eine Datenschutz-Folgeabschätzung sollte nach Art. 35 mindestens die folgenden Inhalte haben.
Falls bei der Datenschutz-Folgeabschätzung herauskommt, dass trotz verschiedenster Maßnahmen immer noch ein hohes Risiko für die Betroffenen vorhanden ist, muss die Aufsichtsbehörde konsultiert werden, bevor der Prozess im Unternehmen umgesetzt wird.
Innerhalb von 8 Wochen (kann bis zu 6 Wochen verlängert werden) nach Konsultation gibt die Aufsichtsbehörde entsprechende schriftliche Empfehlungen. Des Weiteren kann die Aufsichtsbehörde auch die Verarbeitungsvorgänge einschränken bzw. diese auch verbieten (Artikel 58).
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!