Eine Datenschutzfolgenabschätzung (Art.35) ist eine sehr umfangreiche Risiko-Betrachtung aller Aspekte einer Verarbeitung.
Dabei werden technische, organisatorische und legale Gesichtspunkte berücksichtigt. Risiken werden den Maßnahmen gegenübergestellt und gemeinsam mit Betroffenen-Meinungen ergänzt.
Pseudonomyisierung kann jeden diesen Gründe irrelevant machen, wird bisher aber nur sporadisch in Verarbeitungen zu finden sein.
Form: schriftlich, incl. Risikobewertung, Technisch-Organisatorischen Maßn
ahmen, ggf. Statement der Betroffenen
Konsultation: Kann das Risiko nicht mitigiert werden, muss die Datenschutzbehörde konsultiert werden, die in der Norm die Verarbeitung verbieten wird, bis geeignete Maßnahmen getroffen werden.
Die Datenschutzbehörde erstellt eine Whitelist (Art 35 Abs 5) und eine Blacklist (Art 35 Abs 4).
In der Whitelist eingetragene Verarbeitungen sind von der Pflicht einer Datenschutzfolgenabschätzung befreit. Darin befinden sich klassische „Standard-Verarbeitungen“ wie Personalverwaltungs- oder ERP-System.
In der Blacklist eingetragene Verarbeitungen müssen auf jeden Fall eine Datenschutzfolgenabschätzung durchführen, egal welches Ergebnis die individuelle Risikoabschätzung des Verantwortlichen hat. Produkte die sich auf dieser Liste befinden sollten den Kunden unbedingt bereits bei Angebotslegung eine Unterlage dazu beistellen.