Aufgaben und Pflichten von Datenschutzbeauftragten unter ... / 3.3 Datenschutz-Folgenabschätzung

Datenschutzbeauftragte beraten auch bzgl. einer Datenschutz-Folgenabschätzung (DSFA) (Art. 39 Abs. 1 Buchst. c DSGVO). Bei der Folgenabschätzung geht es um die Abschätzung und Minimierung möglicher Folgen, wenn eine risikobehaftete Verarbeitung geplant oder geändert wird (Art. 35 DSGVO).

• Beauftragte überwachen und beraten die verantwortliche Stelle bei der Durchführung der DSFA. Dies umfasst die Beratung und Überwachung des gesamten DSFA-Prozesses.

• Sie sensibilisieren und schulen die an der Datenverarbeitung beteiligten Personen in Bezug auf die datenschutzrechtlichen Anforderungen. Dies stellt sicher, dass alle Beteiligten die Relevanz und Durchführung der DSFA verstehen.

• Sie arbeiten bei der DSFA mit der zuständigen Aufsichtsbehörde zusammen. Datenschutzbeauftragte sind die zentralen Ansprechpersonen für die Behörde in Bezug auf die DSFA.

• Sie überwachen die Umsetzung der aus der DSFA resultierenden Maßnahmen zur Risikominimierung. Sie stellen sicher, dass die identifizierten Risiken tatsächlich adressiert werden.

Datenschutzbeauftragte sind jedoch weder selbst für die Durchführung verantwortlich (denn das ist die verantwortliche Stelle, also die Leitungsebene des Unternehmens), noch muss auf ihren Rat zwingend gehört werden. Wohlgemerkt sind Datenschutzbeauftragte nicht verpflichtet, eine solche Folgenabschätzung pro-aktiv in Gang zu setzen. Sie können "auf Anfrage" in den Prozess eingebunden werden (Art. 39 Abs. 1 Buchst. c DSGVO).

Konkret könnten Beauftragte ihren Rat abgeben in Bezug auf diese Punkte:

• ob die Voraussetzungen für die Durchführung einer Folgenabschätzung vorliegen oder nicht,
• welche Methodik für die Folgenabschätzung angewendet werden könnte,
• ob die Folgenabschätzung intern durchgeführt oder outgesourct wird,
• welche Maßnahmen (auch technische und organisatorische Maßnahmen) angewendet werden können zur Abschwächung jeglicher Risiken für die Rechte und Freiheiten der Betroffenen,
• ob die Datenschutz-Folgenabschätzung korrekt durchgeführt worden ist und welche Ergebnisse sich aus ihr ableiten lassen (insbesondere, ob die Datenverarbeitung durchgeführt werden darf und welche Schutzmaßnahmen getroffen werden müssen).