Die Datenschutz-Folgenabschätzung nach der Datenschutz-Grundverordnung

Ein Überblick für die Praxis

Nun wurde es schlussendlich doch noch schnell geschafft: die neue Datenschutz-Grundverordnung (DSGVO) wurde verabschiedet, sodass diese ab dem 25. Mai 2018 verbindlich in allen Mitgliedsstaaten der EU anwendbar ist. Diese löst die Datenschutzrichtlinie 95/46/EG ab und soll das Datenschutzrecht nicht nur modernisieren, sondern auch innerhalb der Mitgliedsstaaten harmonisieren. Ein innovativer, dafür umso sperrig wirkender Begriff hat es in eben jene Verordnung geschafft: Die „Datenschutz-Folgenabschätzung“ (kurz DSFA). Diese meint nicht, dem deutschen Wortlaut nach, die Folgen durch den Datenschutz, sondern die Auswirkungen von technischen oder anderen Systemen auf den Datenschutz natürlicher Personen. So mutet der ohnehin schon etwas sperrige Begriff eher negativ konnotiert an, da Datenschutz in der Technikbranche oft als Innovationsbremse wahrgenommen wird. Dabei sollen Verfahren der Folgenabschätzungen grundsätzlich als Instrumente zur Sicherung von Nachhaltigkeit verstanden werden und gerade nicht als Hemmnis. Der englische Begriff der „Data Protection Impact Asssessment“ (DPIA) ist dagegen etwas eindeutiger und insgesamt etwas umfassender, da bereits im Wortlaut („assessment“) die erforderliche Beurteilung enthalten ist.