Privacy Impact Assessment (PIA)

Privacy Impact Assessment – Ja oder Nein? 

Die DSGVO bestimmt die Vornahme eines Privacy Impact Assessments („Datenschutz-Folgenabschätzung“) vor der Aufnahme bestimmter (für den Betroffenen riskanter) Datenanwendungen. Unternehmen müssen zunächst einschätzen, ob ihre Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten von Personen darstellt. Wenn ein hohes Risiko besteht, ist in einem weiteren Schritt eine detaillierte Folgenabschätzung notwendig. Die Schwierigkeit wird sich in der Praxis darin stellen, selbst beurteilen zu müssen, ob in Ihrem Unternehmen ein hohes Risiko besteht. Die DSGVO stellt dabei auf die Sicht des Betroffenen ab, also ob die Rechte und Freiheiten des Einzelnen betroffen sein könnten (in der Praxis werden solche Einschnitte der Persönlichkeitsrechte des Betroffenen als „Privacy Impact“ bezeichnet). 

Zuerst sollen daher alle Abteilungen Ihres Unternehmens im Rahmen des Datamappings angehalten sein, eine Einschätzung über den „Impact“ vorzunehmen und sohin das Risiko für die Betroffenen zu bewerten. In einem zweiten Schritt müssen die Verarbeitung und die vorzunehmenden Maßnahmen beschrieben werden („Was mache ich genau und was kann ich tun, um das Risiko zu verringern?“). Wie Sie diese Methodik angehen, ist Ihnen von der DSGVO freigestellt.

In der Praxis werden vor allem solche Unternehmen mit der Vornahme eines Privacy Impact Assessments konfrontiert sein, die neue Technologien (wie zum Beispiel Tracking Tools) verwenden oder mit “besonderen Datenkategorien“ (zB Gesundheit, strafrechtlich relevante Daten etc.) arbeiten oder die Daten entsprechend der „schwarzen Liste“ verarbeiten (dabei handelt es sich um eine schwarze Liste von „besonders risikobehafteten“ Datenverarbeitungen, die von der Datenschutzbehörde in Zukunft zu veröffentlichen ist).