Wenn eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss, empfiehlt die Datenschutzkonferenz (DSK) folgende Vorgehensweise:
Vorbereitung
- Zusammenstellung des DSFA-Team
- Durchführung der Prüfplanung
- Festlegung des Prüfumfangs (Scope)
- Identifikation und Einbindung von Akteuren und betroffenen Personen
- Bewertung der Notwendigkeit / Verhältnismäßigkeit in Bezug auf den Zweck
- Identifikation der Rechtsgrundlagen
Durchführung
- Modellierung der Risikoquellen
- Risikobeurteilung
- Auswahl geeigneter Abhilfemaßnahmen
- Erstellung des DSFA-Berichts
Umsetzung
- Umsetzung der Abhilfemaßnahmen
- Test der Abhilfemaßnahmen
- Dokumentation: Nachweis über die Einhaltung der DSGVO
- Freigabe der Verarbeitungsvorgänge
Überprüfung
- Ggf. Überprüfung und Audit der DSFA
- Fortschreibung
Bei bestehendem Restrisiko muss gemäß Art. 36 DSGVO der bzw. die Verantwortliche mit der zuständigen Datenschutzaufsicht Kontakt aufnehmen.