Bereits Ende Mai hatten viele Landesdatenschutzaufsichtsbehörden eine Liste mit Fällen, in denen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich ist veröffentlicht (siehe unsere Übersicht der einzelnen Bundesländer).
Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn die Rechte und Freiheiten von Personen durch eine Datenverarbeitung einem hohen Risiko ausgesetzt sind.
Nun hat die Datenschutzkonferenz (DSK), ein Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder, eine Liste veröffentlicht und auch dem Europäischen Datenschutzausschuss vorgelegt. Der Europäische Datenschutzausschuss, in dem alle europäischen Aufsichtsbehörden vertreten sind, soll eine für alle EU-Mitgliedstaaten einheitliche, verbindliche Liste verabschieden. Im Vorfeld hatte es Ärger zwischen den Landesdatenschutzbeauftragten und der Bundesdatenschutzbeauftragten gegeben, da diese ihre Liste, ohne Rücksprache mit den Ländern bereits an den Europäischen Datenschutzausschuss übermittelt. Nun haben sich die Akteure anscheinend auf eine Liste geeinigt. Die vorliegende Liste der DSK gilt für den nicht-öffentlichen Bereich. Für den öffentlichen Bereich gibt es noch keine abgestimmte Liste. Auffallend ist, dass einige Landesdatenschutzbehörden bereits auf die DSK-Liste verlinken (Beispiel NRW) und andere noch ihre eigenen Listen bereithalten.
Die gemeinsame Liste ist sehr zu begrüßen, denn die einzelnen Länderlisten wiesen doch Unterschiede auf. Mit der gemeinsamen Liste ist eine bundeseinheitliche Regelung für Unternehmen getroffen worden. Es bleibt zu hoffen, dass der Europäische Datenschutzausschuss sich zeitnah um eine einheitliche europäische Liste bemüht.