Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Die Datenschutz-Grundverordnung ("DS-GVO")¹¹Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. führt das Konzept einer (verpflichtenden) Datenschutz-Folgenabschätzung²²Englisch: "Data Protection Impact Assessment". ("DSFA") in das österreichische Datenschutzrecht ein. Nach Art 35 DS-GVO ist eine DSFA durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dieser Beitrag untersucht, wann eine DSFA zwingend durchzuführen ist, und analysiert zur Beleuchtung dieser Frage die Leitlinien der Artikel-29-Datenschutzgruppe zur DSFA.