Mit der Datenschutz-Folgenabschätzung (DSFA) hat der Gesetzgeber eine Regelung zur Risikoanalyse für den Umgang mit personenbezogenen Daten geschaffen. Diese Analyse soll Risiken bewerten, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung entstehen und voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben können. Das Ziel liegt darin, diese Risiken zu erkennen und zu bewerten und Maßnahmen zum Schutz dieser Daten zu treffen. Unternehmen mit einem Zugang zu sensiblen personenbezogenen Daten sind dazu verpflichtet, eine DSFA zu machen. Betroffene Unternehmen sollen mithilfe der DSFA individuelle Strategien entwickeln, um das Risiko für betroffene Personen und deren Daten auf ein Minimum zu reduzieren.
Weiterhin soll in diesem Rahmen sichergestellt und auch nachgewiesen werden, dass gesetzliche Regelungen zum Datenschutz eingehalten werden. Die bisherige Vorabkontrolle, welche im alten Bundesdatenschutzgesetz verankert war, wurde durch die DSFA ersetzt. Sie stellt eine der wichtigsten Änderungen in der Datenschutz-Grundverordnung dar. Ob ein Unternehmen eine DSFA machen muss, ergibt sich entweder aus der Datenschutz-Grundverordnung, den Leitlinien der Artikel-29-Gruppe, eines Beratergremiums auf europäischer Ebene oder aus den Blacklists der Aufsichtsbehörden.
Was können Mitarbeiter tun?
Zunächst können in Abstimmung mit dem Verantwortlichen Listen und Berichte von Mitarbeitern, welche Umgang mit sensiblen Daten haben, strukturiert gemeldet werden. Dies minimiert den Aufwand, den das Zusammentragen aller relevanten Daten mit sich bringt und verhindert darüber hinaus, dass eventuell relevante Datenbestände nicht berücksichtigt werden. Weiterhin kann jeder Mitarbeiter unterstützen, indem er Ideen einbringt, die zum Schutz der sensiblen Daten beitragen.