Bei jeder Datenschutz-Folgenabschätzung ist der nach Art. 35 Abs. 7 DSGVO gesetzlich vorgegebene Mindestinhalt einer Datenschutz-Folgenabschätzung abzubilden.
Bei der Datenschutz-Folgenabschätzung besteht zusätzlich die Besonderheit, dass im Fall einer sich an die Datenschutz-Folgenabschätzung anschließenden Konsultation nach Art. 36 DSGVO die eigentlichen Mindestaspekte einer Datenschutz-Folgenabschätzung durch weitere Informationen ergänzt werden müssen. Zwar ist eine Konsultation ein eher selten vorkommender Fall, eine weitestmögliche Berücksichtigung dieser zusätzlichen Angaben im Rahmen der Erstellung einer Datenschutz-Folgenabschätzung ist jedoch empfehlenswert.
Eine Datenschutz-Folgenabschätzung und ihre Dokumentation muss gemäß Art. 35 Abs. 7 DSGVO zumindest Folgendes enthalten:
- Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge (wer hat auf welche Daten mit welchen Mitteln unter Hilfe welcher IT-Geräte Zugriff) und der Zweck der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
- Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Absatz 1 DSGVO.
- Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Dabei handelt es sich um Mindestanforderungen, die es einen außenstehenden Fachkundigen ermöglichen, nachzuvollziehen, ob die Verarbeitung rechtens ist oder nicht. In der Praxis kann sich durchaus ergeben, dass noch weitere Aspekte im Rahmen einer Datenschutz-Folgenabschätzung zu berücksichtigen sind.
Bezüglich der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck hat der Verantwortliche zu prüfen, ob es alternative und datenschutzrechtlich weniger eingreifende Verarbeitungsformen gibt, durch die der Zweck der Datenverarbeitung in gleichem Maße erreicht werden kann.
Die Datenverarbeitung ist grundsätzlich als notwendig anzusehen, wenn der verfolgte Zweck sonst nicht, nicht vollständig oder nicht in rechtmäßiger Weise erreicht werden kann.
Die beiden Positionen „Bewertung der Risiken“ und „geplante Maßnahmen & Garantien“ weisen auf die Durchführung einer datenschutzrechtlichen Risikoanalyse im Rahmen einer Datenschutz-Folgenabschätzung hin.
Bezüglich der Vorgehensweise bei und der Dokumentation der Durchführung der Datenschutz-Folgenabschätzung oder auch der Zusammenfassung ihrer Ergebnisse in einem Bericht, enthält die Datenschutz-Grundverordnung keinerlei explizite Vorgaben.