Richtlinie Datenschutz-Folgenabschätzung
Vorgehen zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO.
1. Wann ist eine DSFA erforderlich?
Eine DSFA ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, insbesondere:
- Systematische und umfassende Bewertung persönlicher Aspekte (Profiling)
- Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
2. Methodik
Die DSFA folgt der vom Datenschutzbeauftragten bereitgestellten Vorlage und umfasst Beschreibung, Notwendigkeitsbewertung, Risikoanalyse und Maßnahmenplan.
3. Zuständigkeiten
Verantwortlich für die Durchführung ist der Fachbereich, der die Verarbeitung initiiert. Der Datenschutzbeauftragte berät und gibt das Ergebnis frei.
4. Konsultation der Aufsicht
Verbleibt nach Ergreifung der Maßnahmen ein hohes Risiko, ist die zuständige Aufsichtsbehörde gemäß Art. 36 DSGVO zu konsultieren.
5. Aktualisierung
Bei wesentlichen Änderungen der Verarbeitung ist die DSFA zu überprüfen und bei Bedarf zu aktualisieren.