Datenschutz: Bedeutung der DSGVO für das Arbeitsverhältnis / 3.5 Datenschutz-Folgenabschätzung

Soweit eine Risikoanalyse einer Datenverarbeitung zum Ergebnis hat, dass die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet, ist eine Datenschutz-Folgenabschätzung^[1] durchzuführen und zu dokumentieren. Die Folgenabschätzung muss dabei Folgendes beinhalten:

• Systematische Beschreibung der Verarbeitungsvorgänge
• Zweck der Verarbeitung
• Mit der Verarbeitung verfolgte Interessen
• Bewertung der Notwendigkeit und Verhältnismäßigkeit
• Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
• Getroffene und geplante Abhilfemaßnahmen, durch die der Schutz der personenbezogenen Daten sichergestellt wird

Darüber hinaus muss eine Datenschutz-Folgenabschätzung auch in den in Art. 35 Abs. 3 und 4 DSGVO genannten Fällen erstellt werden.^[2]

[1] Art. 35 DSGVO.

[2] Die DSK hat eine Liste für Verarbeitungstätigkeiten veröffentlicht, für die stets eine Datenschutz-Folgeabschätzung durchzuführen ist. Außerdem können Unternehmen das DSK-Kurzpapier Nr. 5 zur Datenschutz-Folgenabschätzung nach Art. 35 DSGVO konsultieren. Ebenso hilfreich ist die Empfehlung 01/2019 zu der vom Europäischen Datenschutzbeauftragten entworfenen Liste der Verarbeitungsvorgänge, für die eine Datenschutz- Folgenabschätzung durchzuführen ist.