Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Datenschutz-Folgenabschätzung: Black- & Whitelists
Alles andere als schwarz-weiß
Die sehnlichst erwarteten Listen der europäischen Datenschutzaufsichtsbehörden, wann eine Datenschutz-Folgenabschätzung nötig ist und wann nicht, trudeln nun nach und nach ein. Doch die Begeisterung hält sich in Grenzen. Denn so deutlich schwarz-weiß wie erhofft ist die Situation damit nicht geworden.
Artikel 35 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) besagt Folgendes: Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem europäischen Datenschutzausschuss.
Einheitlichkeit? Bisher Fehlanzeige
Alle, die nun gehofft hatten, dass es schnellstmöglich eine einheitliche Liste aller europäischen Aufsichtsbehörden geben wird, sehen sich allerdings derzeit enttäuscht.
Die Aufsichtsbehörden gingen nämlich exakt anhand des Gesetzestextes vor und erstellten zunächst „eine Liste der Verarbeitungsvorgänge“. Sprich: Es gab im Ergebnis eine Liste pro Aufsichtsbehörde – auch in Deutschland mit seinen 18 Behörden.
Somit lag anfangs eine Vielzahl von Listen mit Verarbeitungstätigkeiten vor, für die Verantwortliche eine Datenschutz-Folgenabschätzung durchführen müssen.
Das hat nicht unbedingt dazu beigetragen, dass die Datenschutz-Folgenabschätzung transparenter und einfacher geworden wäre. Das gilt v.a. für Unternehmen, die in mehreren Bundesländern oder mehreren EU-Staaten gleichzeitig tätig sind.
Das Kohärenzverfahren, aktueller Stand
„Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des … Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.“ Das besagt Art. 63 DSGVO. Gerade diese Regelung der DSGVO hatte die Hoffnung auf europaweite Einheitlichkeit geweckt.
Hier folgten die Aufsichtsbehörden ebenfalls genau den…
Weiterlesen mit DP+
Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?
Verfasst von
Stefan Purder
Stefan Purder arbeitete viele Jahre als betrieblicher und externer Datenschutzbeauftragter. In der Zeit, in der er nicht im Datenschutz aktiv war, fand man ihn immer wieder in einer evangelischen Freikirche auf der Kanzel (www.gottesdienst-tv.de/).
