Neuester Artikel

Lesen Sie hier den neuesten Artikel des Autors zum Thema Datenschutz und Informationssicherheit.

Sofort lesen Übersicht

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

 

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Bereits in 2018 veröffentlichten einzelne Datenschutzaufsichtsbehörden Aufstellungen (sog. Blacklists) in denen Datenverarbeitungen aufgeführt wurden, für die zwingend eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Diese Blacklists sind eine hilfreiche Orientierung in der Datenschutzpraxis.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so ist gemäß Art. 35 DS-GVO vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen.

Grundsätzlich ist somit eine Risikoabschätzung hinsichtlich der Verarbeitungsvorgänge vorzunehmen. Ist hier ein hohes Risiko zu erwarten, muss eine DSFA durchgeführt werden. Art. 35 Abs. 3 DS-GVO benennt bereits konkrete Fälle, in denen eine DSFA erforderlich ist:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Art. 35 Abs. 4 DS-GVO schreibt zudem vor, dass die Aufsichtsbehörden, aufbauend auf den Leitlinien der Artikel 29-Datenschutzgruppe, Listen der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist, veröffentlichen.

Viele Landesdatenschutzaufsichtsbehörden verlinken daher auf ihren Websites auf die gemeinsam abgestimmte Liste der Datenschutzkonferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK). Einige Bundesländer veröffentlichen jedoch regelmäßig eigene Listen, die nachfolgend aufgeführt sind.

Neben den einzelnen Landesdatenschutzaufsichtsbehörden hat auch der Bundesdatenschutzbeauftragte eine Liste für öffentliche Stellen des Bundes auf seiner Website veröffentlicht.

Baden-Württemberg

Baden-Württemberg stellt eine Liste für den nichtöffentlichen Bereich zur Verfügung.

Bayern

Für den nichtöffentlichen Bereich verweist die Aufsichtsbehörde auf die Liste der DSK, wobei sie für den öffentlichen Bereich eine eigene Liste bereit hält.

Berlin

Für den nichtöffentlichen Bereich findet sich eine entsprechende Liste hier, für den öffentlichen Bereich hier.

Brandenburg

Das Land Brandenburg hat eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich erstellt. Zusätzlich wurde für den öffentlichen Bereich eine weitere Liste erstellt, die als Ergänzung der ersten Liste dienen soll.

Bremen

Das Bundesland Bremen verfügt über zwei Listen. Für den nichtöffentlichen Bereich finden Sie die Liste hier, für den öffentlichen Bereich hier.

Hamburg

Die Freie und Hansestadt Hamburg hält eine Liste für den öffentlichen Bereich sowie eine Liste für den nichtöffentlichen Bereich vor.

Hessen

Auch Hessen verweist auf seiner Website auf die Liste der DSK. Allerdings existiert ebenfalls ein Link zur gemeinsamen Liste für den öffentlichen und den nichtöffentlichen Bereich.

Mecklenburg-Vorpommern

Verweist für den nichtöffentlichen Bereich auf die Liste der DSK. Für den öffentlichen Bereich gilt jedoch eine eigene Liste.

Niedersachsen

Das Bundesland Niedersachsen verweist für den nichtöffentlichen Bereich auf die Liste der DSK, für den öffentlichen Bereich wurde eine eigene Liste zusammengestellt.

Nordrhein-Westfalen

Nordrhein-Westfalen verweist ebenfalls auf die Liste der DSK, hält jedoch für den öffentlichen Bereich eine eigene Liste vor.

Rheinland-Pfalz

Das gleiche Bild zeigt sich im benachbarten Bundesland Rheinland-Pfalz. Auch hier wird für den nichtöffentlichen Bereich auf die DSK-Liste verwiesen, ebenso wurde für den öffentlichen Bereich eine eigene Liste erstellt.

Saarland

Das Saarland verweist ausschließlich auf die Liste der DSK.

Sachsen

Der Freistaat Sachsen hat eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich samt eines Begleittextes verfasst.

Sachsen-Anhalt

Auch Sachsen-Anhalt verweist für den nichtöffentlichen Bereich auf die DSK-Liste und hat eine eigene Liste für den öffentlichen Bereich erstellt.

Schleswig-Holstein

Schleswig-Holstein verweist lediglich auf die Liste der DSK.

Thüringen

Auch hier besteht eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich.