Mit dem Inkrakttreten der Datenschutzgrundverordnung gibt es in vielen Kontexten die Pflicht, eine "Datenschutz-Folgenabschätzung" (DSFA) durchzuführen  und ihre Nichtexistenz kann mit Strafen belegt werden (DS-GVO Art. 35). Mit  einer DSFA sollen Risiken bei der Datenverarbeitung erkannt und Maßnahmen zur Begrenzung von Risiken getroffen und dokumentiert werden. Verantwortlich sind einer oder mehrere für die Datenverarbeitung „Verantwortliche“ unter Hinzuziehung des/der Datenbeauftragten, der die Datenschutz-Folgeabschätzung überwachen muss. Die Datenschutz-Folgenabschätzung nach Art. 35 der DS-GVO muss zum einen für technische Systeme (z.B. für Datenbanken, in denen sensible Informationen gehalten werden) durchgeführt werden, zum anderen auch für Studien, die mit umfangreichen sensiblen Daten arbeiten oder neue Technologien verwenden, und in allen Fällen, in denen es größere Risiken für die Rechte und Freiheiten betroffener Personen gibt. Da Forschungsprojekte, seien sie medizinisch, psychologisch oder sozialwissenschaftlich, häufig mit sensiblen Daten wie Gesundheitsdaten, genetischen Daten aber auch Daten, die Aufschluss über die politische Orientierung geben sollen, arbeiten, ist es auch in diesem Kontext erforderlich, eine Datenschutz-Folgenabschätzung durchzuführen.

HIer finden Sie Links zu aktuellen Materialien zur Datenschutz-Folgenabschätzung, in denen auch praktische Anregungen zur Umsetzung gegeben werden.

Linksammlung:

  • Art. 29 Gruppe. (2017). Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (WP No. 248 Rev. 01). ZIP-Datei der Artikel 29 Gruppe (zukünftiger Europäischer Datenschutzausschuss - EDSA) in den Amtssprachen der EU http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48464
  • Bitcom e.V. (Ed.). (2017). Risk Assessment & Datenschutz-Folgenabschätzung. Retrieved from https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Risk-Assessment-online.pdf
  • DSK. (2017). Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (Kurzpapier No. 5). Retrieved from https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSK_KPNr_5_Datenschutz-Folgenabschaetzung.pdf
  • Forum Privatheit. (2017). White Paper: Datenschutz-Folgenabschätzung. Ein Werkzeug für einen besseren Datenschutz. Retrieved from https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum-Privatheit-WP-DSFA-3-Auflage-2017-11-29.pdf
  • GDD (Ed.). (2017). Voraussetzungen der Datenschutz-Folgenabschätzung (GDD-Praxishilfe DS-GVO No. X). Stamnd: 1.10.17, Retrieved from https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf
  • Gonscherowski, S., Herber, T., Robrahn, R., Rost, M., & Weichelt, R. (o.J.). Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO auf der methodischen Grundlage eines standardisierten Prozessablaufes mit Rückgriff auf das SDM am Beispiel eines „Pay as you drive“-Verfahrens (V 0.10). Retrieved from https://datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20171106-Planspiel-Datenschutz-Folgenabschaetzung.pdf; Überblick: https://datenschutzzentrum.de/artikel/1174-Planspiel-zur-Datenschutz-Folgenabschaetzung-gem.-Art.-35-DSGVO.html - Planspiel zur Durchführung einer Datenschutzfolgenabschätzung
  • Privacyofficers (Ed.). (2018). Datenschutz-Folgenabschätzung Durchführung einer DSFA am Beispiel Videoüberwachung. Retrieved from https://www.privacyofficers.at/Privacyofficers_DSFA-Umsetzung_DSGVO_v1.0.pdf
  • Informationen der französischen Datenschutzaufsichtsbehörde (CNIL)
    • https://www.cnil.fr/en/guidelines-dpia . The latest publications on DPIAs: the WP29 Guidelines and an infography
    • https://www.cnil.fr/en/privacy-impact-assessments-cnil-publishes-its-pia-manual , Privacy Impact Assessments: the CNIL publishes its PIA manual
    • Open Scource Software, mit der eine DFA durchgeführt werden kann (für Windows, Linux, Mac-OS sowie Webversion): CNIL. (2018). pia - privacy impact assessment: CNIL. Retrieved from https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment
  • Werner Hülsmann: Vortrag: „Technischer Datenschutz, Risikobewertung und die Datenschutz-Folgenabschätzung (DS-FA)“ https://dsgvo.expert/wp/wp-content/uploads/2018/02/2018-02-Hülsmann-Technischer_Datenschutz_und_DS-FA-Handout.pdf