Datenschutz-Folgenabschätzung (DSFA)

Die Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 der DSGVO ist ein systematischer Prozess zur Bewertung der Auswirkungen von Verarbeitungsvorgangen auf den Schutz personenbezogener Daten. Sie ist erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko fur die Rechte und Freiheiten naturlicher Personen birgt — beispielsweise bei umfangreicher Verarbeitung sensibler Daten, bei systematischer Uberwachung oder bei innovativen Technologien.

Eine DSFA muss mindestens enthalten: eine systematische Beschreibung der Verarbeitungsvorgange und ihrer Zwecke, eine Bewertung der Notwendigkeit und Verhaltnismassigkeit der Verarbeitung, eine Abschatzung der Risiken fur die betroffenen Personen sowie die Massnahmen zur Risikominderung. Dazu gehoren auch technische Massnahmen wie Verschlusselung, Pseudonymisierung und — im Kontext von Dokumenten — die Schwarzung personenbezogener Daten.

Der Einsatz von Datenmaske kann bei der DSFA als technische Massnahme zur Risikominderung dokumentiert werden. Die automatische Erkennung und irreversible Schwarzung personenbezogener Daten reduziert das Risiko eines Datenschutzverstoßes bei der Weitergabe von Dokumenten. Das Schwärzungsprotokoll dient dabei als Nachweis fur die ergriffenen Massnahmen.