- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Wann muss eine Datenschutz-Folgenabschätzung erfolgen?

Bei Datenverarbeitungen, die die Rechte des Betroffenen besonders beeinträchtigen können, schreibt die Datenschutz-Grundverordnung (DSGVO) eine Datenschutz-Folgenabschätzung vor. Es herrscht Unklarheit, wann diese nötig ist. Ein Dokument, das Sie beim Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg einsehen können, bringt Licht ins Dunkel.

Gemäß Art. 35 DSGVO muss bei besonderen Verarbeitungen eine Risikoprüfung, also eine Datenschutz-Folgenabschätzung [1] erfolgen. Und unter Umständen ist nach Art. 36 DSGVO sogar die Aufsichtsbehörde zu konsultieren.

Allerdings ist derzeit noch nicht klar, wie genau eine solche Datenschutz-Folgenabschätzung auszusehen hat. Das sorgt für Unsicherheit auf der Seite von Unternehmen.

Mehr Sicherheit gibt es dagegen jetzt, welche Arten von Datenverarbeitungen eine solche Prüfung erforderlich machen.

Blacklist Datenschutz-Folgenabschätzung

Der Landesbeauftragten für Datenschutz und Informationsfreiheit in Baden-Württemberg hat ein Dokument mit dem Titel „Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO” veröffentlicht, das Sie direkt aus dem Internet herunterladen können [2].

Sie gilt für alle verantwortlichen Stellen im nichtöffentlichen Bereich. Der ursprüngliche Entwurf dieses Textes stammt vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).

Bereits in der einleitenden Fußnote stellen die Autoren klar, dass es sich bei der Zusammenstellung um eine „Muss-Liste” handelt. In allen genannten Fällen ist also aus Sicht der Behörden eine Datenschutz-Folgenabschätzung durchzuführen.

Die Aufstellung sorgt zwar für mehr Rechtssicherheit, dürfte aber viele Verantwortliche überraschen.

Denn die Fälle, in denen die Behörden von der notwendigen Risikoprüfung ausgehen, sind doch sehr umfangreich.

Fälle, in denen eine Folgenabschätzung nötig ist

Dazu gehören unter anderem:

Nachschlagewerk für Datenschützer

Dies sind nur einige Beispiele aus der veröffentlichten Liste.

Sie zeigt übersichtlich eine Beschreibung der kritisch zu bewertenden Datenverarbeitung, nennt die dazu passenden typischen Einsatzfelder und führt diese mit Beispielen weiter aus.

Damit eignet sich das Dokument als Nachschlagewerk und Referenz im Alltag der Verantwortlichen und Datenschutzbeauftragten in Unternehmen.

Stephan Lamprecht