Prüfe zuerst, ob die VT in einer DSFA-Muss-Liste (auch bekannt als "Blacklist") enthalten ist. Falls ja, musst du für diese VT unmittelbar eine Datenschutz-Folgenabschätzung durchführen.
Falls die VT nicht in der DSFA-Muss-Liste enthalten ist, führst du eine Schwellwertanalyse durch, in welcher du 9 Fragen zur Abklärung der potentiellen Risiken beantwortest (siehe Anleitung weiter unten im Blog)
Dein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO liefert dir alle nötigen Informationen, die als Basis für die Schwellwertanalyse dienen. Diese Analyse stellt einen vorgelagerten Schritt zur Datenschutz-Folgenabschätzung dar. Stellt sich im Ergebnis ein hohes Risiko heraus, ist die anknüpfende DSFA gesetzlich verpflichtend.
Arbeitsleistung,
wirtschaftliche Lage,
Gesundheit,
persönlichen Vorlieben und Interessen,
Zuverlässigkeit,
Verhaltensweisen und
Aufenthaltsorte oder Ortswechsel.
Um Profiling handelt es sich etwa, wenn dein Unternehmen anhand der wirtschaftlichen Lage der betroffenen Person oder durch die Speicherung ihrer Kaufvorlieben einen Kredit-Score für diese Person erstellt. In diesem Fall ist die erste Frage im Neun-Punkte-Katalog zu bejahen und du musst eine DSFA durchführen.
Eine voll automatisierte Online-Vergabe von Krediten oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen fallen unter diesen Punkt und müssen eine DSFA nach sich ziehen.
im Rahmen eines Systems erfolgt,
vorab festgelegt, organisiert oder methodisch ist,
als Teil eines Gesamtplans zur Datenerfassung stattfindet oder
als Teil einer Strategie durchgeführt wird.
Eine systematische Überwachung liegt bei einer Videoüberwachung vor oder wenn für die Verarbeitung auf Daten zurückgegriffen wird, die über Netzwerke erfasst wurden.
die rassische und ethnische Herkunft,
die politischen Meinungen,
die religiöse oder weltanschaulichen Überzeugungen oder
die Gewerkschaftszugehörigkeit hervorgehen.
Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln
vertrauliche Daten zum Beispiel zur elektronischen Kommunikation, dem Standort oder den Finanzen einer Person, die mögliche Risiken für Betroffene erhöhen könnten
Anzahl der betroffenen Personen
verarbeitete Datenmenge
Bandbreite der verarbeiteten Datenelemente
Dauer oder Dauerhaftigkeit der Verarbeitung
geografisches Ausmaß der Datenverarbeitung
in großem Umfang vorgenommen wird,
für Zwecke erfolgt, für die die Daten nicht direkt bei den Betroffenen erhoben wurden,
mithilfe von nicht nachvollziehbaren Algorithmen geschieht und
dafür geschieht, um damit Entscheidungen mit Rechtswirkung zu treffen.
Kinder
Arbeitnehmer:innen
psychisch Kranke
Asylbewerber:innen
Senior:innen
Patient:innen
Kinder
Arbeitnehmer:innen
psychisch Kranke
Asylbewerber:innen
Senior:innen
Patient:innen
Mittlerweile gibt es zahlreiche Anwendungen, die Künstliche Intelligenz einsetzen. Wenn dein Unternehmen diese KI jedoch für den Kund:innen-Support oder die Auswertung von Telefonaten per Algorithmus nutzt, musst du eine DSFA durchführen.
Auch für die Zugangskontrolle mit einer Kombination aus Fingerabdruck- und Gesichtserkennung musst du eine Datenschutz-Folgenabschätzung machen.
Ein besonders beliebtes Beispiel ist das folgende: Eine Bank durchsucht eine Datenbank, die von einer Kreditauskunftei wie der SCHUFA, Creditreform Boniversum oder Avarto infoscore betrieben wird, nach Daten über einen oder eine potenzielle Kund:in. Die Bank möchte die Erkenntnisse nutzen, um über die Kreditvergabe zu entscheiden. Somit tritt der genannte Fall hinsichtlich der Auswirkungen für die betroffene Person ein; die Bank muss demnach eine DSFA durchführen.
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein gesetzlich vorgeschriebenes Verfahren. Es ist mit Art. 35 der Datenschutz-Grundverordnung (DSGVO) gesetzlich verankert. Eine DSFA musst du immer dann durchführen, wenn abzusehen ist, dass bei einer Datenverarbeitung – aufgrund ihrer Art, ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung – voraussichtlich ein hohes Risiko besteht, die Datenschutzrechte betroffener natürlicher Personen zu verletzen. Das ist zum Beispiel stets der Fall, wenn die Verarbeitungstätigkeit mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO zusammenhängt.
Link kopieren