Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, so führt der Verantwortliche vorab eine Abschätzung der Folgen für den Schutz personenbezogener Daten durch. Dies ist die Datenschutz-Folgenabschätzung (DS-FA oder DSFA) nach Art. 35 DS-GVO. Dies gilt insbesondere bei einer umfangreichen Verarbeitung von besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, vgl. Art. 10 DS-GVO. Dies führt dazu, dass grundsätzlich jede Datenverarbeitung einer folgenden Dreifach-Prüfung zu unterziehen ist:

  • Besteht ein "hohes Risiko"?
    Falls nein, ist die Prüfung beendet und die Datenverarbeitung darf erfolgen.
  • Falls ja, es besteht ein "hohes Risiko": Existieren technische und organisatorische Maßnahmen, um diesem Risiko zu begegnen?
    Falls nein, ist die Prüfung vorerst beendet und die Datenverarbeitung darf nicht erfolgen. Solche Maßnahmen müssten dann vor der Datenverarbeitung entwickelt und eingebunden werden.
  • Falls ja, es existieren Maßnahmen: Sind die Maßnahmen ausreichend, um das "hohe Risiko" angemessen zu minimieren?
    Falls nein, ist die Prüfung vorerst beendet und die Datenverarbeitung darf nicht erfolgen. Ergänzende Maßnahmen müssen vor der Datenverarbeitung entwickelt und eingebunden werden.
    Falls ja, es bestehen angemessene Maßnahmen, darf die Datenverarbeitung erfolgen.

Wir unterstützen Sie bei der Einschätzung, ob und in welchem Umfang Risiken für rechtmäßig verarbeitete personenbezogene Daten bestehen. Bei der Gefährdungsanalyse können wir auf unsere Erfahrung und die Vielzahl der uns bekannten Fälle zurückgreifen.