Datenschutz-Folgenabschätzung und die Blacklist der Aufsichtsbehörden

Die meisten Unternehmen haben zum 25.05.2018 ein Verarbeitungsverzeichnis erstellt, oder sind immer noch dabei, es fertigzustellen. Ein weiterer Punkt in Ihrer Datenschutz- Checkliste ist die sog. Datenschutz-Folgenabschätzung (kurz DSFA).

Wann muss eine DSFA erfolgen?

Wenn ein hohes Risiko bei der Verarbeitung personenbezogener Daten zu erwarten ist, muss eine Datenschutz-Folgenabschätzung gemacht werden, und zwar vor (!) Beginn der Verarbeitung. So heißt es in Art. 35 Abs. 3 DSGVO:

Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Wir wurden in der Zwischenzeit immer wieder gefragt, wann denn eine DSFA gemacht werden muss, denn der Wortlaut des Art. 35 Abs. 3 DSGVO ist nur wenig hilfreich. Was z.B. ist eine „umfangreiche Verarbeitung besonderer Kategorien„?

In den Erwägungsgründen (Nr. 91) des Gesetzgebers zu Art. 35 DSGVO heißt es:

„Dies sollte insbesondere für umfangreiche Verarbeitungsvorgänge gelten, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Umfang eine neue Technologie eingesetzt wird, sowie für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.“

Es gibt bestimmte Fälle, in denen eine DSFA zwingend erforderlich ist. Hierfür sollen die Landesaufsichtsbehörden eine Liste der Verarbeitungsvorgänge erstellen, für die eine DSFA durchzuführen ist (Art. 35 Abs. 4 DSGVO).

 

Blacklists

Diese Listen (für den nicht öffentlichen Bereich) haben lange auf sich warten lassen, sind aber inzwischen vorhanden und veröffentlicht.

Baden-Württemberg

Bayern (liegt noch nicht vor)

Berlin (liegt noch nicht vor)

Brandenburg

Bremen (Homepage mit Verlinkung auf ein zum Download gestelltes pdf)

Hamburg

Hessen (liegt noch nicht vor)

Mecklenburg-Vorpommern

Niedersachsen

Nordrhein-Westfalen

Rheinland-Pfalz

Saarland

Sachsen (liegt nicht vor)

Sachsen-Anhalt

Schleswig-Holstein

Thüringen (vorläufig)

 

Hinweis: Die Listen sind nicht abschließend. Sie sind eher als dynamisch zu verstehen und können jederzeit ergänzt oder geändert werden.

 

Weitere Beiträge

Datenschutzrechtliche Verantwortlichkeit, AVV und AGB- Recht im Spiegel der neueren EuGH- Rechtsprechung zur Cyberkriminalität  Teil II Beweislast und Auswirkungen auf den Inhalt der AVV

Fortsetzung von Teil I https://www.anwaltskanzlei-online.de/2024/12/27/datenschutzrechtliche-verantwortlichkeit-avv-und-agb-recht-im-spiegel-der-neueren-eugh-rechtsprechung-zur-cyberkriminalitaet-teil-i/ Beweislast Die DSGVO enthält keine Regelungen zur Beweislast für den Schadensersatz. Grundsätzlich muss der Betroffene (also die natürliche Person) nachweisen, dass ein Verstoß gegen die DSGVO zu einem Schaden (materiell oder immateriell) geführt hat. Eine

Mehr lesen »

Datenschutzrechtliche Verantwortlichkeit, AVV und AGB- Recht im Spiegel der neueren EuGH- Rechtsprechung zur Cyberkriminalität  Teil I

Inhalt: Mir geht’s in diesem Blog darum, ganz kurz die Rechtsprechung des EuGH zum Thema Schadensersatz und Cyberkriminalität darzustellen und auf die Auswirkungen dieser Rechtsprechung für die IT- Unternehmen einzugehen, die als Auftragsverarbeiter für die Auftraggeber fungieren. Insbesondere beschäftigt mich

Mehr lesen »
Nach oben scrollen