Eine Datenschutzfolgenabschätzung ist ein Verfahren, das Organisationen helfen soll, die Datenschutzrisiken eines Projekts zu ermitteln und zu minimieren. Sie ist eine zentrale Anforderung der DSGVO für Verarbeitungstätigkeiten, die wahrscheinlich zu hohen Risiken für die Rechte und Freiheiten von Personen führen.

Eine Datenschutz-Folgenabschätzung ist für alle Verarbeitungen vorgeschrieben, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, wie z. B. die groß angelegte Verarbeitung sensibler Daten, systematische Überwachung oder neue Technologien. Sie sollte vor Beginn der Verarbeitung durchgeführt werden.

Zu den Schritten gehören die Beschreibung der Verarbeitungstätigkeit, die Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, die Ermittlung und Bewertung der Risiken für den Einzelnen und die Angabe von Maßnahmen zur Minderung dieser Risiken. Der Prozess umfasst gegebenenfalls die Konsultation von Interessengruppen und betroffenen Personen.

Datenschutzfolgenabschätzungen sollten von Personen durchgeführt werden, die mit der Verarbeitungstätigkeit und den Datenschutzgrundsätzen vertraut sind. Dazu gehören häufig der DSB, Rechtsberater und IT-Mitarbeiter. Um eine gründliche Bewertung zu gewährleisten, können auch externe Experten hinzugezogen werden.

Zu den Vorteilen gehören die Identifizierung und Minderung von Datenschutzrisiken, die Gewährleistung der Einhaltung der DSGVO, die Stärkung des Vertrauens der betroffenen Personen und die Vermeidung potenzieller Geldbußen und Reputationsschäden. Sie demonstriert einen proaktiven Ansatz für den Datenschutz.