Kürzlich hatte ich über die Datenschutzfolgeabschätzung (DSFA) und Risikobewertung informiert.
Wann ist eine DSFA erforderlich?
Eine Datenschutz-Folgenabschätzung muss insbesondere dann durchgeführt werden, wenn:
- eine systematische und umfassende Bewertung persönlicher Aspekte (z. B. durch Profiling) erfolgt,
- sensible Daten (z. B. Gesundheitsdaten, biometrische Daten) in großem Umfang verarbeitet werden,
- eine systematische Überwachung öffentlich zugänglicher Bereiche stattfindet (z. B. Videoüberwachung),
- oder wenn die Verarbeitung in einer von den Aufsichtsbehörden veröffentlichten Positivliste aufgeführt ist.
Eine solche Positivliste findet sich auf der Webseite der Datenschutzkonferenz DSK unter dem Titel “ Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist„
Als Beispiele werden u.A. benannt:
- Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke
- Genetische Datenbanken zur Abstammungsforschung
- Betrieb eines Insolvenzverzeichnisses
- Scoring durch Auskunfteien, Banken oder Versicherungen
- Fahrzeugdatenverarbeitung – Umgebungssensoren
- Betrieb von Bewertungsportalen
- Inkassodienstleistungen – Factoring
- Geolokalisierung von Beschäftigten
- Betrieb von Dating- und Kontaktportalen
- Kundensupport mittels künstlicher Intelligenz
- Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
- Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind
