Die grundrechtskonforme Ausgestaltung der Datenschutz-Folgenabschätzung nach der neuen europäischen Datenschutz-Grundverordnung

Die Europäische Union verfügt seit dem Inkrafttreten des Vertrags von Lissabon im Jahr 2009 über die rechtlich verbindliche Grundrechtecharta (GRC), die das Recht auf Privatsphäre, wie es seit den fünfziger Jahren aus Art. 8 der Europäischen Menschenrechtskonvention (EMRK) bekannt ist, um ein eigenständiges Recht auf den Schutz personenbezogener Daten erweitert. Allerdings klafft eine Lücke zwischen dem Schutz dieser Rechte und der Umsetzung neuer Technologien. Einen Ansatz, um die Lücke zu schließen, bietet die in der neuen Europäischen Datenschutz-Grundverordnung (DS-GVO) erstmals verbindlich geregelte Datenschutz-Folgenabschätzung (DSFA). Um Unternehmen und Behörden für die Einhaltung dieser Rechte zu sensibilisieren, schreibt Art. 35 DS-GVO die Durchführung einer DSFA vor, die dazu dient, Risiken für Individuen, die sich aus der Verwendung einer bestimmten Technologie oder eines bestimmten Systems ergeben, zu erkennen und zu analysieren. Auf der Grundlage dieser Analyse sind angemessene Maßnahmen auszuwählen und umzusetzen, um die festgestellten Risiken zu bewältigen. Seit der Einführung von Folgenabschätzungen gab es immer wieder Ansätze, diese auch auf dem Gebiet des Privatsphären- und Datenschutzes fruchtbar zu machen. Auf freiwilliger Basis wurden diese jedoch in der Praxis oft nicht umgesetzt oder eher als Form des Produkt-Marketings verstanden. Wenn die Grundverordnung im Mai 2018 anwendbar wird, müssen Unternehmen und Behörden im Fall eines voraussichtlich hohen Risikos ihrer Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen den Datenschutzaufsichtsbehörden auf Anfrage ihre Datenschutz-Folgenabschätzungen vorlegen.