Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen
Eine Datenschutz-Folgenabschätzung ist eine für bestimmte Verarbeitungsvorgänge vorgeschriebene strukturierte Risikoanalyse. Sie dient einer Vorabbewertung bestimmter Verarbeitungsvorgänge, die ein Verantwortlicher vornehmen möchte.
Wann muss eine Datenschutz-Folgenabschätzung erstellt werden?
Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung (DSGVO) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Artikel 35 Absatz 3 Datenschutzgrundverordnung (DSGVO) nennt explizit drei Klassen von Verarbeitungen, für die in jedem Fall eine DSFA durchgeführt werden muss. Diese sind:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
Artikel 35 Absatz 4 DSGVO verpflichtet die Datenschutzaufsichtsbehörden Listen von Verarbeitungsvorgängen zu erstellen, zu veröffentlichen und an den Europäischen Datenschutzausschuss (EDSA) zu übermitteln, für die in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich ist. In Deutschland wird dabei zwischen dem öffentlichen und dem nicht-öffentlichen Bereich unterschieden:
Datenschutz-Folgenabschätzungen im nicht-öffentlichen Bereich
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine gemeinsame Liste für Datenverarbeitungen im nicht-öffentlichen Bereich nach Artikel 35 Absatz 4 DSGVO verabschiedet, für die eine Datenschutz-Folgenabschätzung erstellt werden muss.
Datenschutz-Folgenabschätzungen bei öffentlichen Stellen
Auch öffentliche Stellen des Bundes sind bei bestimmten Verarbeitungen personenbezogener Daten verpflichtet, eine Datenschutz-Folgenabschätzung zu erstellen. Eine Liste dieser Verarbeitungsvorgänge wird durch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) erstellt.
Zusatzinformationen
Publikationen und Downloads
- Zur Detailansicht der Publikation Datenschutz-Grundverordnung - Bundesdatenschutzgesetz - Texte und Erläuterungen (Info 1)(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)
- Datenschutz und Telekommunikation (Info 5)
- Zur Detailansicht der Publikation Vernetzte Fahrzeuge - Datenschutz im Auto(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)