Antwort
Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, einschließlich Profiling;
- umfangreiche Verarbeitung sensibler Daten;
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Nationale Datenschutzbehörden können in Abstimmung mit dem Europäischen Datenschutzausschuss Listen der Fälle bereitstellen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist. Die Datenschutz-Folgenabschätzung ist vor der Verarbeitung durchzuführen und sollte als dynamisches Instrument und nicht als einmaliger Vorgang angesehen werden. Wenn weiterhin ein Risiko besteht, das nicht durch die durchgeführten Maßnahmen eingedämmt werden kann, muss die Datenschutzbehörde vor der Verarbeitung konsultiert werden.
Beispiele
Datenschutz-Folgenabschätzung erforderlich
Eine Bank prüft ihre Kunden mithilfe einer Datenbank für die Kreditauskunft; ein Krankenhaus führt in Kürze eine neue Datenbank für Gesundheitsinformationen mit den Gesundheitsdaten seiner Patienten ein; ein Busunternehmen beabsichtigt, an Bord Kameras einzurichten, um das Verhalten seiner Fahrer und Fahrgäste zu überwachen.
Datenschutz-Folgenabschätzung nicht erforderlich
Ein Gemeindearzt verarbeitet die personenbezogenen Daten seiner Patienten. Hier ist keine Datenschutz-Folgenabschätzung erforderlich, da die Verarbeitung durch Gemeindeärzte bei einer übersichtlichen Anzahl an Patienten nicht in großem Umfang erfolgt.
Referenzen
Examples
DPIA required
A bank screening its customers against a credit reference database; a hospital about to implement a new health information database with patients’ health data; a bus operator about to implement on-board cameras to monitor drivers’ and passengers’ behaviour.
DPIA not required
A community doctor processing personal data of his patients. In that case, there is no need for a DPIA since the processing by the community doctors isn’t done on a large scale in cases where the number of patients is limited.