Antwort: Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschliesslich Profiling;
- umfangreiche Verarbeitung sensibler Daten;
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Nationale Datenschutzbehörden können in Abstimmung mit dem Europäischen Datenschutzausschuss Listen der Fälle bereitstellen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Wenn weiterhin ein Risiko besteht, das nicht durch die durchgeführten Massnahmen eingedämmt werden kann, muss die Datenschutzbehörde vor der Verarbeitung konsultiert werden.
Beispiele:
Datenschutz-Folgenabschätzung erforderlich
Eine Bank prüft ihre Kunden mithilfe einer Datenbank für die Kreditauskunft; ein Krankenhaus führt in Kürze eine neue Datenbank für Gesundheitsinformationen mit den Gesundheitsdaten seiner Patienten ein; ein Busunternehmen beabsichtigt, an Bord Kameras einzurichten, um das Verhalten seiner Fahrer und Fahrgäste zu überwachen.
Datenschutz-Folgenabschätzung nicht erforderlich
Ein Gemeindearzt verarbeitet die personenbezogenen Daten seiner Patienten. Hier ist keine Datenschutz-Folgenabschätzung erforderlich, da die Verarbeitung durch Gemeindeärzte bei einer übersichtlichen Anzahl an Patienten nicht in grossem Umfang erfolgt.
Europäische Kommission; 28.02.2018; bow