Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch – so regelt es Art. 35 Abs. 1 Datenschutz-Grundverordnung (DSGVO). Die Einschätzung, welche Risiken vorliegen und wie diese einzustufen sind, hat die verantwortliche Stelle in eigener Verantwortung zu treffen. Nachträglich sind die Ergebnisse dieser Einstufung und ggf. auch der durchgeführten DSFA durch die Datenschutzaufsicht oder durch ein Gericht überprüfbar. Es gilt hier also, umsichtig zu handeln.
Hinweis:
Nach Maßgabe von § 38 Abs. 1 S. 2 Bundesdatenschutzgesetz (BDSG) besteht – unabhängig von der Beschäftigtenanzahl – dann die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB), wenn Datenverarbeitungen vorgenommen werden, für die eine DSFA durchgeführt werden muss. Wenn Sie also im Zuge der KI-Nutzung feststellen, dass Sie dafür einer DSFA-Pflicht unterliegen, müssen Sie zugleich einen DSB haben – egal, ob Sie mehr oder weniger als 20 Beschäftigte haben.
Schritt für Schritt durch die DSFA
Der generelle Ablauf einer DSFA-Prüfung gestaltet sich wie folgt: