Wann muss eine Datenschutz-Folgenabschätzung erstellt werden?
Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung (DSGVO) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Artikel 35 Absatz 3 DSGVO nennt explizit drei Klassen von Verarbeitungen, für die in jedem Fall eine DSFA durchgeführt werden muss. Diese sind:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
Systematische und regelmäßige Überwachung erfolgt schon bei einer Dauerüberwachung mittels eines digitalen Videorekorders