Relevante Verarbeitungstätigkeiten für eine Datenschutz-Folgenabschätzung (DSFA)
– eine aktuelle Übersicht

Inhalt

 

 

 

Datenschutz-Folgenabschätzung – was ist das?

Eine Datenschutz-Folgenabschätzung – kurz DSFA – ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Eine DSFA ist durchzuführen, wenn die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Teil einer DSFA sind auch Abhilfemaßnahmen, durch die ein gewisses Schutzniveau personenbezogener Daten erreicht und sichergestellt werden soll.

Für deutsche Unternehmen und Behörden ist eine Datenschutz-Folgenabschätzung „Neuland“ im Bereich Datenschutz, die in Art. 35 DS-GVO konkret geregelt ist.

Nach der alten Fassung des Bundesdatenschutzgesetzes, das bis 25.05.2018 galt, war zwar eine Vorabkontrolle nach § 4d Abs. 5 BDSG erforderlich, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Doch geht die Datenschutz-Folgenabschätzung inhaltlich deutlich weiter.

Weitere Informationen zur DSFA und zur internen Umsetzung finden Sie im Kurzpapier Nummer 5 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK).

 

Aktueller Stand in Deutschland

Wie in Seminaren, Vorträgen und sonstiger Kommunikation mehrfach seitens der Datenschutz-Aufsichtsbehörden angekündigt, wurden nun Übersichten von Verarbeitungstätigkeiten kommuniziert, für die jeweils eine DSFA erforderlich ist (sog. „Blacklist“, alternativ auch „Muss-“ oder „Positiv-Liste“). Die Aufsichtsbehörden folgen somit der Anforderung gemäß Art. 35 Abs. 4 DS-GVO.

 

Für welche Verarbeitungstätigkeiten ist eine DSFA erforderlich?

Die nachfolgend abgebildete Übersicht enthält Links zu den von den jeweiligen Behörden bereitgestellten Blacklists. Die Listen stellen einen aktuellen Stand dar, der fortlaufend angepasst wird.

 

Bundesland Bereich
Baden-Württemberg Nicht-Öffentlicher Bereich
Bayern Nicht-Öffentlicher Bereich Hinweise für den öffentlichen Bereich
Berlin Nicht-Öffentlicher Bereich Öffentlicher Bereich
Brandenburg Nicht-Öffentlicher Bereich Öffentlicher Bereich
Bremen Nicht-Öffentlicher Bereich
Hamburg Nicht-Öffentlicher Bereich Öffentlicher Bereich
Hessen Nicht-Öffentlicher Bereich
Mecklenburg-Vorpommern Nicht-Öffentlicher Bereich
Niedersachsen Nicht-Öffentlicher Bereich Öffentlicher Bereich
Nordrhein-Westfalen Nicht-Öffentlicher Bereich Öffentlicher Bereich
Reinland-Pfalz Nicht-Öffentlicher Bereich Öffentlicher Bereich
Saarland Nicht-Öffentlicher Bereich
Sachsen Nicht-Öffentlicher Bereich
Sachsen-Anhalt Nicht-Öffentlicher Bereich
Schleswig-Holstein Nicht-Öffentlicher Bereich Öffentlicher Bereich
Thüringen Nicht-Öffentlicher Bereich Öffentlicher Bereich

 

Der Blick auf Europa

Auch die europäischen Partner schlafen nicht. So haben einige bereits Verarbeitungstätigkeiten definiert und Übersichten veröffentlicht, für die eine Datenschutz-Folgenabschätzung bzw. ein Privacy Impact Assessment (PIA), wie es in der englischen Originalfassung heißt, erforderlich ist.

 

Land Link zur weiteren Information Bemerkungen
Article 29 Data Protection Working Party https://iapp.org/media/pdf/resource_center/WP29-GDPR-DPIA-guidance_final.pdf
https://www.datenschutz-bayern.de/technik/orient/wp248.pdf
Belgien https://datamatters.sidley.com/belgian-privacy-commission-issues-guidance-on-data-protection-impact-assessments-under-the-gdpr/
Opinion 2/2018 Belgium SAs DPIA List
Bulgarien Opinion 3/2018 Bulgaria SAs DPIA List
Dänemark Opinion 24/2018 Denmark SAs DPIA List
Estland Opinion 6/2018 Estonia SAs DPIA List
Finnland Opinion 8/2018 Finland SAs DPIA List
Frankreich https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf
Opinion 9/2018 France SAs DPIA List
Griechenland Opinion 7/2018 Greece SAs DPIA List
Irland http://gdprandyou.ie/data-protection-impact-assessments-dpia/  DPIA Beschreibung
Opinion 11/2018 Ireland SAs DPIA List
Italien Opinion 12/2018 Italy SAs DPIA List
Kroatien Opinion 25/2018 Croatia SAs DPIA List
Lettland Opinion 14/2018 Latvia SAs DPIA List
Litauen Opinion 13/2018 Lithuania SAs DPIA List
Luxemburg https://cnpd.public.lu/content/dam/cnpd/en/actualites/national/2017/07/seances-info-gdpr/gdpr-info-sessions-en-13h30-dpia.pdf DPIA Beschreibung
Opinion 26/2018 Luxembourg SAs DPIA List
Malta Opinion 15/2018 Malta SAs DPIA List
Niederlande https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia#wat-zijn-de-criteria-van-de-ap-voor-een-verplichte-dpia-6667 DPIA Beschreibung
https://www.datenschutz-bayern.de/technik/orient/wp248.pdf

Opinion 16/2018 Netherlands SAs DPIA List

Österreich https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_II_108/BGBLA_2018_II_108.pdfsig

Opinion 1/2018 Austrian SAs DPIA List

Polen http://www.klattorneys.pl/wp-content/uploads/2018/04/Mandatory-DPIA-Poland-klattorneys.pl_.pdf 
https://giodo.gov.pl/pl/file/13366

Opinion 17/2018 Poland SAs DPIA List

Portugal Opinion 18/2018 Portugal SAs DPIA List
Rumänien Opinion 19/2018 Romania SAs DPIA List
Schweden Opinion 20/2018 Sweden SAs DPIA List
Slowakei Opinion 21/2018 Slovakia SAs DPIA List
Slowenien Opinion 27/2018 Slovenia SAs DPIA List
Spanien https://iapp.org/media/pdf/resource_center/Guia_EvaluacionesImpacto.pdf
Tschechische Republik Opinion 4/2018 Czech Republic SAs DPIA List
UK https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/
Opinion 22/2018 United Kingdom SAs DPIA List
Ungarn Opinion 10/2018 Hungary SAs DPIA List
Zypern noch nicht veröffentlicht

 

 

Handlungsempfehlung

Für die nächsten Schritte empfehlen wir folgendes:

  • Überprüfen Sie Ihre Verarbeitungstätigkeiten und gleichen Sie diese mit den Vorgaben der Aufsichtsbehörden ab.
  • Definieren Sie Verarbeitungstätigkeiten, die eine DSFA erfordern.
  • Schaffen Sie die internen Voraussetzungen, um die entsprechenden DSFA zu erstellen.
  • Nehmen Sie Kontakt zu Ihrem Datenschutzbeauftragten auf und führen Sie die geforderte DSFA unter Zuhilfenahme seines Rats durch.

 

Folgen bei Nichtbeachtung

Setzen Sie Verarbeitungstätigkeiten für personenbezogene Daten in Ihrem Unternehmen ein, für die eine DSFA erforderlich ist, aber Ihrerseits keine Datenschutz-Folgenabschätzung erfolgt ist, kann es teuer werden:Art. 83 Abs. 4 DS-GVO behaftet einen Verstoß gegen Art. 35 DS-GVO mit einem Bußgeldvon bis zu 10 Mio. € oder 2% des gesamten weltweiterzielten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DS-GVO).

 

Praktische Hilfe

Und wie setzen Sie diese Empfehlungen nun konkret in Ihrem Unternehmen oder Ihrer Behörde um? Wir bieten Ihnen praktische Beratung zur Erstellung Ihrer DSFA.

Informieren Sie sich über unser Portfolio oder nehmen Sie direkt Kontakt mit uns auf.