Relevante Verarbeitungstätigkeiten für eine Datenschutz-Folgenabschätzung (DSFA) – eine aktuelle Übersicht

 

Inhalt

  • Datenschutz-Folgenabschätzung – was ist das?
  • Aktueller Stand in Deutschland.
  • Für welche Verarbeitungstätigkeiten ist eine Datenschutz-Folgenabschätzung erforderlich?
  • Der Blick auf Europa
  • Handlungsempfehlung
  • Folgen bei Nichtbeachtung
  • Praktische Hilfe

 

Datenschutz-Folgenabschätzung – was ist das?

Eine Datenschutz-Folgenabschätzung – kurz DSFA – ist ein Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten.

Eine DSFA ist durchzuführen, wenn die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Teil einer DSFA sind auch Abhilfemaßnahmen, durch die ein gewisses Schutzniveau personenbezogener Daten erreicht und sichergestellt werden soll.

Für deutsche Unternehmen und Behörden ist eine Datenschutz-Folgenabschätzung „Neuland“ im Bereich Datenschutz, die in Art. 35 DS-GVO konkret geregelt ist.

Nach der alten Fassung des Bundesdatenschutzgesetzes, das bis 25.05.2018 galt, war zwar eine Vorabkontrolle nach § 4d Abs. 5 BDSG erforderlich, soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Doch geht die Datenschutz-Folgenabschätzung inhaltlich deutlich weiter.

Weitere Informationen zur DSFA und zur internen Umsetzung finden Sie im Kurzpapier Nummer 5 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK).

 

Aktueller Stand in Deutschland

Wie in Seminaren, Vorträgen und sonstiger Kommunikation mehrfach seitens der Datenschutz-Aufsichtsbehörden angekündigt, wurden nun Übersichten von Verarbeitungstätigkeiten kommuniziert, für die jeweils eine DSFA erforderlich ist (sog. „Blacklist“, alternativ auch „Muss-“ oder „Positiv-Liste“). Die Aufsichtsbehörden folgen somit der Anforderung gemäß Art. 35 Abs. 4 DS-GVO.

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat hierzu weitere relevante Informationen sowie Hilfestellungen zur Verfügung gestellt: Informationen zur DSFA.

 

Für welche Verarbeitungstätigkeiten ist eine DSFA erforderlich?

Die nachfolgend abgebildete Übersicht enthält Links zu den von den jeweiligen Behörden bereitgestellten Blacklists. Die Listen stellen einen aktuellen Stand dar, der fortlaufend angepasst wird.

 

Bundesland Bereich
Baden-Württemberg Nicht-Öffentlicher Bereich  
Bayern Nicht-Öffentlicher Bereich Hinweise für den öffentlichen Bereich
Berlin Nicht-Öffentlicher Bereich Öffentlicher Bereich
Brandenburg Nicht-Öffentlicher Bereich Öffentlicher Bereich
Bremen Nicht-Öffentlicher Bereich  
Hamburg Nicht-Öffentlicher Bereich Öffentlicher Bereich
Hessen Nicht-Öffentlicher Bereich  
Mecklenburg-Vorpommern Nicht-Öffentlicher Bereich  
Niedersachsen Nicht-Öffentlicher Bereich Öffentlicher Bereich
Nordrhein-Westfalen Nicht-Öffentlicher Bereich Öffentlicher Bereich
Rheinland-Pfalz Nicht-Öffentlicher Bereich Öffentlicher Bereich
Saarland Nicht-Öffentlicher Bereich  
Sachsen Nicht-Öffentlicher Bereich  
Sachsen-Anhalt Nicht-Öffentlicher Bereich  
Schleswig-Holstein Nicht-Öffentlicher Bereich Öffentlicher Bereich
Thüringen Nicht-Öffentlicher Bereich Öffentlicher Bereich

 

 

Der Blick auf Europa

Auch die europäischen Partner schlafen nicht. So haben einige bereits Verarbeitungstätigkeiten definiert und Übersichten veröffentlicht, für die eine Datenschutz-Folgenabschätzung bzw. ein Privacy Impact Assessment (PIA), wie es in der englischen Originalfassung heißt, erforderlich ist.

 

Land Link zur weiteren Information Bemerkungen
Article 29 Data Protection Working Party
https://iapp.org/media/pdf/resource_center/WP29-GDPR-DPIA-guidance_final.pdf
 
https://www.datenschutz-bayern.de/technik/orient/wp248.pdf
 
Belgien
https://datamatters.sidley.com/belgian-privacy-commission-issues-guidance-on-data-protection-impact-assessments-under-the-gdpr/
 
Opinion 2/2018 Belgium SAs DPIA List
 
Bulgarien
Opinion 3/2018 Bulgaria SAs DPIA List
 
Dänemark
Opinion 24/2018 Denmark SAs DPIA List
 
Estland
Opinion 6/2018 Estonia SAs DPIA List
 
Finnland
Opinion 8/2018 Finland SAs DPIA List
 
Frankreich
https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-piaf-connectedobjects-en.pdf
 
Opinion 9/2018 France SAs DPIA List
Privacy Impact assessment (pia)
Analyse d’impact relative à la protection des données : publication d’une liste des traitements pour lesquels une analyse n’est pas requise
 
Griechenland
Opinion 7/2018 Greece SAs DPIA List
 
Irland
http://gdprandyou.ie/data-protection-impact-assessments-dpia/
DPIA Beschreibung
Opinion 11/2018 Ireland SAs DPIA List
 
Island
Opinion 07/2019 Iceland SAs DPIA List
 
Italien
Opinion 12/2018 Italy SAs DPIA List
 
Kroatien
Opinion 25/2018 Croatia SAs DPIA List
 
Lettland
Opinion 14/2018 Latvia SAs DPIA List
 
Liechtenstein
Opinion 01/2019 Liechtenstein SAs DPIA List
 
Litauen
Opinion 13/2018 Lithuania SAs DPIA List
 
Luxemburg
https://cnpd.public.lu/content/dam/cnpd/en/actualites/national/2017/07/seances-info-gdpr/gdpr-info-sessions-en-13h30-dpia.pdf
https://cnpd.public.lu/en/professionnels/obligations/AIPD.html
DPIA Beschreibung
Opinion 26/2018 Luxembourg SAs DPIA List
 
Malta
Opinion 15/2018 Malta SAs DPIA List
 
Niederlande
https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia#wat-zijn-de-criteria-van-de-ap-voor-een-verplichte-dpia-6667
DPIA Beschreibung
https://www.datenschutz-bayern.de/technik/orient/wp248.pdf
 
Opinion 16/2018 Netherlands SAs DPIA List
 
Norwegen
Opinion 02/2019 Norway SAs DPIA List
 
Österreich
https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_II_108/BGBLA_2018_II_108.pdfsig
 
Opinion 1/2018 Austrian SAs DPIA List
 
Polen
https://giodo.gov.pl/pl/file/13366
 
 
Opinion 17/2018 Poland SAs DPIA List
 
Portugal
Opinion 18/2018 Portugal SAs DPIA List
 
Rumänien
Opinion 19/2018 Romania SAs DPIA List
 
Schweden
Opinion 20/2018 Sweden SAs DPIA List
 
Slowakei
Opinion 21/2018 Slovakia SAs DPIA List
 
Slowenien
Opinion 27/2018 Slovenia SAs DPIA List
 
Spanien
https://iapp.org/media/pdf/resource_center/Guia_EvaluacionesImpacto.pdf
https://www.aepd.es/agencia/transparencia/jornadas/common/10-sesion/9-preguntas.pdf
 
Tschechische Republik
Opinion 4/2018 Czech Republic SAs DPIA List
 
UK
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assessments-dpias/examples-of-processing-likely-to-result-in-high-risk/
 
Opinion 22/2018 United Kingdom SAs DPIA List
 
Ungarn
Opinion 10/2018 Hungary SAs DPIA List
 
Zypern
http://www.dataprotection.gov.cy/dataprotection/dataprotection.nsf/All/ED786DE02E8020FCC225826000377143?OpenDocument&highlight=dpia
 

 

 

 

Handlungsempfehlung

Für die nächsten Schritte empfehlen wir folgendes:

  • Überprüfen Sie Ihre Verarbeitungstätigkeiten und gleichen Sie diese mit den Vorgaben der Aufsichtsbehörden ab.
  • Definieren Sie Verarbeitungstätigkeiten, die eine DSFA erfordern.
  • Schaffen Sie die internen Voraussetzungen, um die entsprechenden DSFA zu erstellen.
  • Nehmen Sie Kontakt zu Ihrem Datenschutzbeauftragten auf und führen Sie die geforderte DSFA unter Zuhilfenahme seines Rats durch.

 

 

Folgen bei Nichtbeachtung

Setzen Sie Verarbeitungstätigkeiten für personenbezogene Daten in Ihrem Unternehmen ein, für die eine DSFA erforderlich ist, aber Ihrerseits keine Datenschutz-Folgenabschätzung erfolgt ist, kann es teuer werden:Art. 83 Abs. 4 DS-GVO behaftet einen Verstoß gegen Art. 35 DS-GVO mit einem Bußgeldvon bis zu 10 Mio. € oder 2% des gesamten weltweiterzielten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DS-GVO).

 

Praktische Hilfe

Und wie setzen Sie diese Empfehlungen nun konkret in Ihrem Unternehmen oder Ihrer Behörde um? Wir bieten Ihnen praktische Beratung zur Erstellung Ihrer DSFA.

Informieren Sie sich über unser Portfolio oder nehmen Sie direkt Kontakt mit uns auf.

Zurück