Einzelne Aufsichtsbehörden für den Datenschutz haben nun die ersten, langersehnten Positivlisten für die Datenschutz-Folgenabschätzung auf Ihren Internet-Plattformen veröffentlicht. Als Orientierung sind die Listen geeignet, lassen aber noch viel Raum für Unsicherheiten.
Der Inhalt im Überblick
Die Datenschutz-Folgenabschätzung
Wem die sogenannte Datenschutz-Folgenabschätzung (kurz: DSFA) bisher noch kein Begriff ist, hier nochmals eine kurze Erklärung:
Bei der DSFA handelt es sich um eine Regelung nach der Datenschutz-Grundverordnung (DSGVO), bei dem der Verantwortliche der Datenverarbeitung verpflichtet wird, für bestimmte Verfahren, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Grundlegende Informationen erhalten Sie in unserem allgemeinen Artikel zur DSFA.
Gesetzlich geregelt ist die DSFA in Art. 35 DSGVO. Dort finden sich auch bereits ein paar Beispiele, in welchen Fällen eine Datenschutz-Folgenabschätzung erforderlich ist, wie bspw. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 35 Abs. 3 b DSGVO) und bei einer umfangreichen Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 c DSGVO).
Die Aufsichtsbehörden werden in Art. 35 Abs. 4 S. 1 DSGVO jedoch zusätzlich dazu angehalten, Listen von Verarbeitungsvorgängen zu veröffentlichen, für die eine DSFA durchzuführen ist.
Endlich die ersten deutschen Positivlisten veröffentlicht
Lange haben die Aufsichtsbehörden mit den Listen auf sich warten lassen, doch nun wurden erste Positivlisten bereitgestellt.
- Baden-Württemberg
- Thüringen
- Schleswig-Holstein
- Rheinland-Pfalz
- Saarland
- Hamburg
- Niedersachsen
- Berlin
- Brandenburg
- Hessen
- Bundesdatenschutzbeauftragte
- Abgestimmte Liste der Datenschutzkonferenz (DSK)
Kein Anspruch auf Vollständigkeit
Die Aufsichtsbehörden geben in den Listen einen ausdrücklichen Hinweis: Falls eine Verarbeitungstätigkeit nicht enthalten ist, so sei hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen sei.
Stattdessen sei es Aufgabe des Verantwortlichen im Wege einer Vorabprüfung zu bewerten, ob eine Verarbeitungstätigkeit aufgrund Ihrer Art (insb. wegen einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen) einer Datenschutz-Folgenabschätzung bedarf oder nicht. Für diese Prüfung wird in den Dokumenten eine weitere Liste bereitgestellt, welche Kriterien bei der Prüfung heranzuziehen sind.
Des Weiteren wird darauf hingewiesen, dass die Liste als „lebendiges“ Papier anzusehen ist, was so viel bedeuten soll wie, dass diese aufgrund der Schnelllebigkeit im digitalen Umfeld ständig aktualisiert und verändert werden kann.
Zusammenfassung und Ausblick
Durch die Bereitstellung von Positivlisten erhalten die Verantwortlichen eine gute Übersicht, welche Verfahren aus Sicht der deutschen Aufsichtsbehörden definitiv einer DSFA zu unterziehen sind.
Diese Stellungnahmen werden allerdings wieder insoweit relativiert, dass zum einen die Liste jeder Zeit geändert werden kann und zum anderen aufgrund des ausdrücklichen Hinweises, dass keine Sicherheit besteht, dass, wenn ein Verfahren nicht aufgeführt wird, auch keine Datenschutz-Folgenabschätzung durchzuführen ist.
Bei der Anzahl an verschiedenartiger Verfahren mit Bezug zu personenbezogenen Daten, ist es recht wahrscheinlich, dass Verantwortliche in der Liste nicht fündig werden und letztlich dennoch mit Unterstützung des Datenschutzbeauftragten eine allgemeine Abwägung durchführen müssen.
Hilfreich wären daher zusätzlich Negativlisten, aus denen ersichtlich wird, für welche Verarbeitungstätigkeiten gerade keine Datenschutz-Folgenabschätzung benötigt wird. Zumindest ist in Art. 35 Abs. 5 S. 1 DSGVO verankert, dass die Aufsichtsbehörden Negativlisten erstellen und veröffentlichen können. Da allerdings „können“ nicht „müssen“ heißt, bleibt abzuwarten, wie lange diese auf sich warten lassen, bzw. ob überhaupt Negativlisten von den überlasteten Aufsichtsbehörden veröffentlicht werden.
Vielen Dank für die aktuellen Meldungen. LDA Brandenburg hat mittlerweile ebenfalls seine Listen auf der Webseite veröffentlicht. lda.brandenburg.de/sixcms/detail.php/bb1.c.596771.de
Zumindest gibt es jetzt einige Orientierungen. Wir haben eine europaweite Verordnung, aber leider auch unterschiedliche Herangehensweisen in den Bundesländern und auch Abweichungen zwischen Bund und Ländern. Deutschlandweit agierende Firmen, müssen nun auch erst wieder schauen, wie was in welchem Bundesland gesehen wird. Das große Europa und die „Kleinstaaterei“.
Vielen Dank! Haben wir hinzugefügt.
Berlin:
datenschutz-berlin.de/pdf/datenschutzfolgeabschaetzung/dsfolge-nicht-oeffentlich.pdf
Vielen Dank! Haben wir hinzugefügt.
Danke für den Beitrag!
In Artikel 35 Abs. 1 steht, dass der Verantwortliche vorab eine DSFA durchführen muss. Gelten die oben verlinkten Listen als nur für neu eingeführte Verarbeitungen oder muss auch für bereits bestehende Verarbeitungen eine DSFA durchgeführt werden, wenn diese zwei Punkte der Liste erfüllen?
Die Pflicht aus Art. 35 Abs. 1 DSGVO besteht für jede Verarbeitung, welche die entsprechenden Kriterien erfüllt. Unerheblich ist es, ob die Verarbeitung bereits begonnen hat oder erst ansteht. Die veröffentlichten Listen dienen lediglich dazu, entsprechende Verarbeitungen, die ein erhöhtes Risiko beinhalten, besser einordnen zu können. Sie sind demnach eher als Orientierungshilfen zu betrachten, im Zweifel muss der jeweilige Verarbeitungsvorgang im Einzelfall geprüft werden.
Ist bereits absehbar, ob und wann Listen für den öffentlichen Bereich erscheinen werden?
Sowohl in der Veröffentlichung aus Thüringen, als auch in denen aus Rheinland-Pfalz, Niedersachsen und Brandenburg sind bereits Listen für den öffentlichen Bereich enthalten.
Danke für die Übersicht. Eine kurze Anmerkung:
Der Link zu der Thüringer Liste führt nur auf die Homepage des TLfDI, hier der Direktlink:
https://www.tlfdi.de/mam/tlfdi/datenschutz/liste_dsfa.pdf
Wir haben den Link aktualisiert. Vielen Dank für Ihren Hinweis.
Habe Hessen in der Liste vermisst und das hier gefunden: datenschutz.hessen.de/liste-von-verarbeitungsvorg%C3%A4ngen-nach-art-35-abs-4-ds-gvo
Vielen Dank für den Hinweis! Wir haben die Liste aktualisiert.