Eine Datenschutz-Folgenabschätzung (auch Data Protection Impact Assessment, kurz DPIA genannt) ist ein Verfahren zur Bewertung von Risiken für die Rechte und Freiheiten von betroffenen Personen im Zusammenhang mit der Verarbeitung personenbezogener Daten. Die DPIA soll sicherstellen, dass Datenschutzrisiken frühzeitig erkannt und angemessene Maßnahmen ergriffen werden, um diese Risiken zu minimieren oder zu vermeiden.
Die Datenschutz-Folgenabschätzung ist in der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben und muss in bestimmten Fällen durchgeführt werden. Ziel ist es, die betroffenen Personen vor möglichen Risiken zu schützen und das Vertrauen in den Datenschutz zu stärken.
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Die DSGVO nennt verschiedene Faktoren, die bei der Beurteilung eines hohen Risikos berücksichtigt werden müssen. Dazu gehören beispielsweise:
- die Verarbeitung besonderer Kategorien personenbezogener Daten (sensible Daten wie Gesundheitsdaten oder biometrische Daten)
- die systematische und umfassende Bewertung persönlicher Aspekte von betroffenen Personen (z.B. Profiling)
- die Verarbeitung personenbezogener Daten von Kindern
- die Verarbeitung in großem Umfang von personenbezogenen Daten
In diesen Fällen muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen, bevor er mit der Verarbeitung beginnt.