Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

07. Januar 2019

Datenschutz-Folgenabschätzung: Black- & Whitelists

5,00 (1)
Alles andere als schwarz-weiß
Die sehnlichst erwarteten Listen der europäischen Datenschutzaufsichtsbehörden, wann eine Datenschutz-Folgenabschätzung nötig ist und wann nicht, trudeln nun nach und nach ein. Doch die Begeisterung hält sich in Grenzen. Denn so deutlich schwarz-weiß wie erhofft ist die Situation damit nicht geworden.

Artikel 35 Abs. 3 der Datenschutz-Grundverordnung (DSGVO) besagt Folgendes: Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem europäischen Datenschutzausschuss.

Einheitlichkeit? Bisher Fehlanzeige

Alle, die nun gehofft hatten, dass es schnellstmöglich eine einheitliche Liste aller europäischen Aufsichtsbehörden geben wird, sehen sich allerdings derzeit enttäuscht.

Die Aufsichtsbehörden gingen nämlich exakt anhand des Gesetzestextes vor und erstellten zunächst „eine Liste der Verarbeitungsvorgänge“. Sprich: Es gab im Ergebnis eine Liste pro Aufsichtsbehörde – auch in Deutschland mit seinen 18 Behörden.

Somit lag anfangs eine Vielzahl von Listen mit Verarbeitungstätigkeiten vor, für die Verantwortliche eine Datenschutz-Folgenabschätzung durchführen müssen.

Das hat nicht unbedingt dazu beigetragen, dass die Datenschutz-Folgenabschätzung transparenter und einfacher geworden wäre. Das gilt v.a. für Unternehmen, die in mehreren Bundesländern oder mehreren EU-Staaten gleichzeitig tätig sind.

Das Kohärenzverfahren, aktueller Stand

„Um zur einheitlichen Anwendung dieser Verordnung in der gesamten Union beizutragen, arbeiten die Aufsichtsbehörden im Rahmen des … Kohärenzverfahrens untereinander und gegebenenfalls mit der Kommission zusammen.“ Das besagt Art. 63 DSGVO. Gerade diese Regelung der DSGVO hatte die Hoffnung auf europaweite Einheitlichkeit geweckt.

Hier folgten die Aufsichtsbehörden ebenfalls genau den…

Stefan Purder
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Stefan Purder
Stefan Purder
Stefan Purder arbeitete viele Jahre als betrieblicher und externer Datenschutzbeauftragter. In der Zeit, in der er nicht im Datenschutz aktiv war, fand man ihn immer wieder in einer evangelischen Freikirche auf der Kanzel (www.gottesdienst-tv.de/).
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.