Relevante Verarbeitungstätigkeiten für eine Datenschutz-Folgenabschätzung (DSFA)
– eine aktuelle Übersicht

Inhalt

 

 

 

Datenschutz-Folgenabschätzung – was ist das?

Eine Datenschutz-Folgenabschätzung – kurz DSFA – ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Eine DSFA ist durchzuführen, wenn die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Teil einer DSFA sind auch Abhilfemaßnahmen, durch die ein gewisses Schutzniveau personenbezogener Daten erreicht und sichergestellt werden soll.

Für deutsche Unternehmen und Behörden ist eine Datenschutz-Folgenabschätzung „Neuland“ im Bereich Datenschutz, die in Art. 35 DS-GVO konkret geregelt ist.

Nach der alten Fassung des Bundesdatenschutzgesetzes, das bis 25.05.2018 galt, war zwar eine Vorabkontrolle nach § 4d Abs. 5 BDSG erforderlich, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Doch geht die Datenschutz-Folgenabschätzung inhaltlich deutlich weiter.

Weitere Informationen zur DSFA und zur internen Umsetzung finden Sie im Kurzpapier Nummer 5 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK).

 

Aktueller Stand in Deutschland

Wie in Seminaren, Vorträgen und sonstiger Kommunikation mehrfach seitens der Datenschutz-Aufsichtsbehörden angekündigt, wurden nun Übersichten von Verarbeitungstätigkeiten kommuniziert, für die jeweils eine DSFA erforderlich ist (sog. „Blacklist“, alternativ auch „Muss-“ oder „Positiv-Liste“). Die Aufsichtsbehörden folgen somit der Anforderung gemäß Art. 35 Abs. 4 DS-GVO.

 

Für welche Verarbeitungstätigkeiten ist eine DSFA erforderlich?

Die nachfolgend abgebildete Übersicht enthält Links zu den von den jeweiligen Behörden bereitgestellten Blacklists. Die Listen stellen einen aktuellen Stand dar, der fortlaufend angepasst wird.

 

Bundesland Bereich
Baden-Württemberg Nicht-Öffentlicher Bereich
Bayern Nicht-Öffentlicher Bereich Hinweise für den öffentlichen Bereich
Berlin Nicht-Öffentlicher Bereich Öffentlicher Bereich
Brandenburg Nicht-Öffentlicher Bereich Öffentlicher Bereich
Bremen Nicht-Öffentlicher Bereich
Hamburg Nicht-Öffentlicher Bereich Öffentlicher Bereich
Hessen Nicht-Öffentlicher Bereich
Mecklenburg-Vorpommern Nicht-Öffentlicher Bereich
Niedersachsen Nicht-Öffentlicher Bereich Öffentlicher Bereich
Nordrhein-Westfalen Nicht-Öffentlicher Bereich Öffentlicher Bereich
Reinland-Pfalz Nicht-Öffentlicher Bereich Öffentlicher Bereich
Saarland Nicht-Öffentlicher Bereich
Sachsen Nicht-Öffentlicher Bereich
Sachsen-Anhalt Nicht-Öffentlicher Bereich
Schleswig-Holstein Nicht-Öffentlicher Bereich Öffentlicher Bereich
Thüringen Nicht-Öffentlicher Bereich Öffentlicher Bereich

 

Der Blick auf Europa

Auch die europäischen Partner schlafen nicht. So haben einige bereits Verarbeitungstätigkeiten definiert und Übersichten veröffentlicht, für die eine Datenschutz-Folgenabschätzung bzw. ein Privacy Impact Assessment (PIA), wie es in der englischen Originalfassung heißt, erforderlich ist.

 

Land Link zur weiteren Information Bemerkungen
Article 29 Data Protection Working Party https://iapp.org/media/pdf/resource_center/WP29-GDPR-DPIA-guidance_final.pdf
https://www.datenschutz-bayern.de/technik/orient/wp248.pdf
Belgien https://datamatters.sidley.com/belgian-privacy-commission-issues-guidance-on-data-protection-impact-assessments-under-the-gdpr/
Bulgarien noch nicht veröffentlicht
Dänemark noch nicht veröffentlicht
Estland noch nicht veröffentlicht
Finnland noch nicht veröffentlicht
Frankreich https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf
Griechenland noch nicht veröffentlicht
Irland http://gdprandyou.ie/data-protection-impact-assessments-dpia/  DPIA Beschreibung
Italien noch nicht veröffentlicht
Kroatien noch nicht veröffentlicht
Lettland noch nicht veröffentlicht
Litauen noch nicht veröffentlicht
Luxemburg https://cnpd.public.lu/content/dam/cnpd/en/actualites/national/2017/07/seances-info-gdpr/gdpr-info-sessions-en-13h30-dpia.pdf  DPIA Beschreibung
Malta noch nicht veröffentlicht
Niederlande https://business.gov.nl/running-your-business/business-management/accounting-and-administration/the-gdpr-step-by-step/
https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia#wat-zijn-de-criteria-van-de-ap-voor-een-verplichte-dpia-6667
Österreich https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_II_108/BGBLA_2018_II_108.pdfsig
Polen http://www.klattorneys.pl/wp-content/uploads/2018/04/Mandatory-DPIA-Poland-klattorneys.pl_.pdf 
https://giodo.gov.pl/pl/file/13366
Portugal noch nicht veröffentlicht
Rumänien noch nicht veröffentlicht
Schweden noch nicht veröffentlicht
Slowakei noch nicht veröffentlicht
Slowenien noch nicht veröffentlicht
Spanien https://iapp.org/media/pdf/resource_center/Guia_EvaluacionesImpacto.pdf
Tschechische Republik noch nicht veröffentlicht
UK https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/
Ungarn noch nicht veröffentlicht
Zypern noch nicht veröffentlicht

 

 

Handlungsempfehlung

Für die nächsten Schritte empfehlen wir folgendes:

  • Überprüfen Sie Ihre Verarbeitungstätigkeiten und gleichen Sie diese mit den Vorgaben der Aufsichtsbehörden ab.
  • Definieren Sie Verarbeitungstätigkeiten, die eine DSFA erfordern.
  • Schaffen Sie die internen Voraussetzungen, um die entsprechenden DSFA zu erstellen.
  • Nehmen Sie Kontakt zu Ihrem Datenschutzbeauftragten auf und führen Sie die geforderte DSFA unter Zuhilfenahme seines Rats durch.

 

Folgen bei Nichtbeachtung

Setzen Sie Verarbeitungstätigkeiten für personenbezogene Daten in Ihrem Unternehmen ein, für die eine DSFA erforderlich ist, aber Ihrerseits keine Datenschutz-Folgenabschätzung erfolgt ist, kann es teuer werden:Art. 83 Abs. 4 DS-GVO behaftet einen Verstoß gegen Art. 35 DS-GVO mit einem Bußgeldvon bis zu 10 Mio. € oder 2% des gesamten weltweiterzielten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DS-GVO).

 

Praktische Hilfe

Und wie setzen Sie diese Empfehlungen nun konkret in Ihrem Unternehmen oder Ihrer Behörde um? Wir bieten Ihnen praktische Beratung zur Erstellung Ihrer DSFA.

Informieren Sie sich über unser Portfolio oder nehmen Sie direkt Kontakt mit uns auf.