Auch öffentliche Stellen sind grundsätzlich zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) verpflichtet, sofern die Voraussetzungen dafür nach Art. 35 DSGVO erfüllt sind. Dies ist insbesondere dann der Fall, wenn sie Verarbeitungen personenbezogener Daten durchführen, die in der sog. „Blacklist“ der Aufsichtsbehörde genannt sind. In den Datenschutzgesetzen der Länder sind hingegen Ausnahmetatbestände von der Verpflichtung zur Durchführung einer DSFA normiert, so z.B. in Art. 14 BayDSG.
Als Hilfestellung für bayerische öffentliche Stellen bietet der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) auf seinem Internetauftritt Hilfsmittel an, die zur Durchführung einer Datenschutz-Folgenabschätzung genutzt werden können.
Allgemeine Informationen in Hinblick auf das Instrument der DSFA bietet die ebenfalls angebotene Orientierungshilfe.
Darüber hinaus stellt der BayLfD ein Arbeitspapier mit dem Titel “Datenschutz-Folgenabschätzung – Methodik und Fallstudie“ zur Verfügung, das die methodische Einführung an einem konkreten Beispiel veranschaulicht und die erforderlichen Arbeitsschritte und den Umgang mit dem Hilfsmittel vorstellt.
Weitere Praktische Orientierung erhalten Interessierte mittels angebotener Musterformulare und Ausfüllbeispiele, die sich auf die Fallstudie aus dem Arbeitspapier beziehen. Im Einzelnen stehen zur Verfügung:
Modul 1: Beschreibung einer Verarbeitungstätigkeit
Modul 2: DSFA-Bericht in Formularform für eine Verarbeitungstätigkeit
Modul 3: Tabellen für das Risikomanagement zu einer Verarbeitungstätigkeit
Modul 4: Tabellen für das Zielerfüllungsmanagement zu einer Verarbeitungstätigkeit
Die Informationen zum Thema Datenschutz-Folgeabschätzung werden durch eine Download-Möglichkeit des von der französischen Datenschutz-Aufsicht CNIL entwickelten „PIA-Tools“ in deutscher Übersetzung ergänzt.
