Die Datenschutzfolgenabschätzung ist vergleichbar mit der bekannten Vorabkontrolle nach § 4d Abs. 5 BDSG.
Wo bisher allerdings eine Vorabkontrolle auf Grund der Ausnahmeregelungen selten zum Zuge kam, ist heute die Datenschutz-Folgenabschätzung der Regelfall.
Die Artikel 29 Gruppe hat zur Datenschutzfolgenabschätzung bereits ein Working-Paper veröffentlicht.
1. Systematische Beschreibung der Datenverarbeitung (Art.35(7)(a)):
- Umfang, Inhalt und Zweck der Datenverarbeitung (EG 90);
- Personenbezogene Daten, Empfänger, Speicherfristen
- Funktionale Beschreibung der Datenverarbeitung
- die Systeme auf denen die Daten verarbeitet werden (hardware, software, networks, people, paper or paper transmission channels) werden identifiziert;
- Compliance mit anerkannten Verhaltensregeln (code of conduct) (Art.35(8));
2. Maßnahmen zur Datensicherheit (Art.35(7)(d) und EG 90):
- Verfügbarkeit
- Vertraulichkeit
- Integrität
- Belastbarkeit der System
3. Bewertung der Notwendigkeit und Verhältnismäßigkeit (Art.35(7)(b))
3.1. Verhältnismäßigkeit der Datenverarbeitung
- Definierte, bestimmte erlaubte Zwecke (Art.5(1)(b));
- Erlaubnis der Datenverarbeitung (Art.6)
- Angemessen, relevant und begrenzt auf die notwendigen Daten (Art.5(1)(c));
- Begrenzte Speicherdauer (Art.5(1)(e));
3.2. Maßnahmen zur Umsetzung der Betroffenenrechte
- Informationen, die dem Betroffenen mitgeteilt werden (Art. 12, 13 und 14)
- Recht auf Auskunft und Datenübertragung (Art. 15 und 20)
- Recht auf Berichtigung, Vergessen werden und Sperrung (Art. 16, 17 und 19)
- Recht auf Widerspruch und Einschränkung der Verarbeitung (Art.18, 19 und 21)
- Verhältnis mit Auftragsverarbeiter (Art.28)
- Sicherheiten im internationalen Datentransfer (Chapter V)
- Vorherige Konsultation der Aufsichtsbehörde (Art.36).
4. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen (Art.35(7)(c)):
- Ursache, Art, Besonderheiten und Schwer des Risikos (cf. EG 84) oder besonders für die einzelnen Risiken (illegitimste access, undesired modification, und disappearance of data) aus Sicht des Betroffenen:
- Ursachen der Risiken werden bewertet (EG 90);
- Mögliche Folgen für die Rechte und Freiheiten der Betroffenen werden bei Vorfällen insbesondere unberechtigtem Zugriff unbeabsichtigten Modifikationen oder Löschung von Daten identifiziert.
- Bewertung der Schwere und der Eintrittswahrscheinlichkeiten (EG 90);
- Abhilfemaßnahmen für diese Risiken werden bestimmt (Art.35(7)(d) und EG 90);
5. Bei der Folgenabschätzung beteiligte Parteien:
- Ratschlag des Datenschutzbeauftragten DSB (Art.35(2));
- Standpunkt der Betroffenen oder Ihrer Vertreter werden eingeholt, soweit angemessen (Art.35(9))