Datenbasiert entscheiden

Was bedeutet DPIA – Data Protection Impact Assessment?

Stefan von Gagern

Gastautor: Stefan von Gagern schreibt in Hamburg als freier Journalist über Themen rund um Technologie, Kreativität und digital Marketing. Für den #SageNachfolgePlaner schreibt er regelmäßig über Unternehmensnachfolge, vor allem rund um das Thema Digitale Transformation.

Mensch am Handy
2 Minuten zu lesen

Data Protection Impact Assessment“ oder DPIA kann man auf Deutsch der sogenannten „Datenschutz-Folgenabschätzung“, kurz „DSFA“, gleichsetzen. Dabei wägt man ab, inwiefern eine Datenverarbeitung ein hohes Risiko für die Freiheiten und Rechte natürlicher Personen nach sich zieht, sodass der Datenschutz beeinträchtigt werden könnte.

Gemäß Artikel 35, Absatz 3 der DSGVO ist eine Datenschutz-Folgenabschätzung erforderlich, sobald:

  • persönliche Aspekte natürlicher Personen automatisiert verarbeitet sowie umfassend und systematisch bewertet werden, damit Entscheidungen getroffen werden können, die gegenüber diesen Personen eine rechtliche Wirkung entfalten bzw. diese in ähnlich gravierender Weise beeinträchtigen;
  • von personenbezogenen Daten besondere Kategorien (beispielsweise ethnische Herkunft, politische Meinungen, weltanschauliche oder religiöse Überzeugungen sowie genetische oder biometrische Daten) oder personenbezogene Daten über strafrechtliche Straftaten und Verurteilungen verarbeitet werden (darf nur unter behördlicher Aufsicht passieren oder wenn es nach Unionsrecht bzw. nach dem Recht der Mitgliedsstaaten zulässig ist);
  • eine öffentliche Überwachung stattfindet, also öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden.

Welche Richtlinien müssen Unternehmen beachten, um DPIA Datenschutz korrekt umzusetzen?

Eine korrekte Datenschutz-Folgenabschätzung in Unternehmen muss mindestens die hier aufgeführten Kriterien enthalten:

  1. Eine exakte Beschreibung sowohl der geplanten Verarbeitungsvorgänge, der Verarbeitungszwecke, der automatisierten Verarbeitung als auch der berechtigten Interessen des Verantwortlichen.
  2. Die Dokumentation von Notwendigkeit und Verhältnismäßigkeit der jeweiligen Erhebung personenbezogener Daten.
  3. Eine Evaluierung der Risiken, die für die Freiheiten und Rechte der Betroffenen entstanden sind.
  4. Die geplanten Abhilfemaßnahmen zur Bewältigung und Minderung dieser Risiken, wie beispielsweise Sicherheitsvorkehrungen und Garantien.

Und noch ein Tipp: Die DSFA gilt auch für personenbezogene Daten in Papierform!

Nächste Artikel-Empfehlung

Interesse an weiteren Tipps & Insights zum Thema Datenbasiert entscheiden?

…mit unserem Newsletter 1x im Monat

  • Neue Trends aus der Businesswelt

  • Aktuelle Urteile verständlich erklärt

  • Tipps zu Recht, Steuern & Finanzen

  • Experten-Interviews, Studien u.v.m

Datenbasiert entscheiden

Hier finden Sie weitere Themen aus diesem Artikel