Die meisten Unternehmen haben zum 25.05.2018 ein Verarbeitungsverzeichnis erstellt, oder sind immer noch dabei, es fertigzustellen. Ein weiterer Punkt in Ihrer Datenschutz- Checkliste ist die sog. Datenschutz-Folgenabschätzung (kurz DSFA).
Wann muss eine DSFA erfolgen?
Wenn ein hohes Risiko bei der Verarbeitung personenbezogener Daten zu erwarten ist, muss eine Datenschutz-Folgenabschätzung gemacht werden, und zwar vor (!) Beginn der Verarbeitung. So heißt es in Art. 35 Abs. 3 DSGVO:
Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
Wir wurden in der Zwischenzeit immer wieder gefragt, wann denn eine DSFA gemacht werden muss, denn der Wortlaut des Art. 35 Abs. 3 DSGVO ist nur wenig hilfreich. Was z.B. ist eine „umfangreiche Verarbeitung besonderer Kategorien„?
In den Erwägungsgründen (Nr. 91) des Gesetzgebers zu Art. 35 DSGVO heißt es:
„Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.“
Es gibt bestimmte Fälle, in denen eine DSFA zwingend erforderlich ist. Hierfür sollen die Landesaufsichtsbehörden eine Liste der Verarbeitungsvorgänge erstellen, für die eine DSFA durchzuführen ist (Art. 35 Abs. 4 DSGVO).
Blacklists
Diese Listen (für den nicht öffentlichen Bereich) haben lange auf sich warten lassen, sind aber inzwischen vorhanden und veröffentlicht.
Bayern (liegt noch nicht vor)
Berlin (liegt noch nicht vor)
Bremen (Homepage mit Verlinkung auf ein zum Download gestelltes pdf)
Hessen (liegt noch nicht vor)
Sachsen (liegt nicht vor)
Thüringen (vorläufig)
Hinweis: Die Listen sind nicht abschließend. Sie sind eher als dynamisch zu verstehen und können jederzeit ergänzt oder geändert werden.