DSFA – ja oder nein?

Die Datenschutzfolgenabschätzung ist eine der tatsächlichen Neuerungen in der DS-GVO. Es herrscht jedoch Unklarheit darüber, wann sie durchgeführt werden muss und wann nicht. Laut Homepage der EU-Kommisson müssen beispielsweise „Landärzte“ keine solche DSFA durchführen: Sie haben zu wenig betroffene Personen, also zu wenige Patienten um diese Notwendigkeit auszulösen. Das kann man seltsam finden, denn immerhin handelt es sich ja um Daten besonderer Kategorien, die hier verarbeitet werden. Bei uns gibt es hierzu noch keine weiteren Einlassungen. Andere Länder sind weiter als wir, hier definieren die Aufsichtsbehörden bereits Fälle in denen eine DSFA nötig ist und teilweise sogar solche, in denen das eben nicht der Fall ist. Und das ist allem Anschein nach nicht nur sinnvoll, sondern notwendig: Bei uns setzt sich nämlich so langsam die Ansicht durch, dass man die Erklärung, warum man auf eine DSFA verzichtet, so umfangreich dokumentieren muss, dass man eigentlich genauso gut eine durchführen könnte. Das war zwar sicher nicht im Sinne des Erfinders, erzeugt aber Papier, das man prüfen kann. Und das ist gut. Oder etwa doch nicht? Auch hier besteht nämlich die akute Gefahr, dass vor lauter Rechenschaftlichkeit der eigentliche Sinn des Datenschutzes, nämlich der Schutz der personenbezogenen Daten, hintanstehen muss. Und sei es nur aus künstlich erzeugtem Zeitmangel bei denjenigen, die in Zukunft mehr dokumentieren als optimieren.