Sind die Rechte und Freiheiten von Personen durch eine Datenverarbeitung einem hohen Risiko ausgesetzt, so ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Dies regelt Art. 35 DSGVO.
Wann ist eine DSFA vorzunehmen?
Grundsätzlich ergibt sich dies aus einer Risikoabschätzung der Verarbeitungsvorgänge. Ist ein hohes Risiko zu erwarten, muss eine DSFA durchgeführt werden. Art. 35 Abs. 3 benennt Fälle, in denen eine DSFA durchzuführen ist:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.
Art. 35 Abs. 4 schreibt vor, dass die Aufsichtsbehörden, aufbauend auf den Leitlinien der Artikel 29-Datenschutzgruppe, eine Blacklist für die Fälle, in denen eine DSFA zwingend erforderlich ist, erstellen.
Viele Landesdatenschutzaufsichtsbehörden haben bereits eine solche Blacklist auf ihren Internetseiten veröffentlicht (Stand 30.05.2018 13:00 Uhr). Eines vorweg: die Fälle, in denen die Aufsichtsbehörden eine DSFA vorschreiben sind sehr ähnlich. Allerdings unterscheiden sich manche Listen im Detail dann doch voneinander. Auffallend ist, dass einige Aufsichtsbehörden nur Listen für den öffentlichen Bereich herausgegeben haben, andere wiederum welche die nur für den nicht-öffentlichen Bereich gelten und einige haben gemeinsame Listen für den öffentlichen und nicht-öffentlichen Bereich herausgegeben. Hier zeigt sich erneut die föderale Struktur Deutschland, die es den Unternehmen nicht immer einfach macht. Basis für viele Listen war nach Angaben der Behörden eine Ausarbeitung der Berliner Beauftragten für Datenschutz und Informationsfreiheit auf Basis der Beiträge von Mitgliedern der Unterarbeitsgruppe Datenschutz-Folgenabschätzung des Arbeitskreises Grundsatzes der Datenschutzkonferenz. Der ursprüngliche Entwurf dieses Textes stammte wohl vom Bayerischen Landesamt für Datenschutzaufsicht.
Es ist geplant, die von den deutschen Aufsichtsbehörden veröffentlichten Listen in Kürze unter den Mitgliedern der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) abzustimmen. Dass dies nötig ist, zeigen die kleinen aber feinen Unterschiede. So ist beispielsweise in Hamburg und einigen anderen Bundesländern eine Datenschutz-Folgenabschätzung für Datenverarbeitungen mit besonderen Kategorien (Art. 9 Abs. 1 und Art. 10) in einem Drittland Pflicht, in Baden-Württemberg nicht.
Auch die Bundesdatenschutzbeauftragte hat eine Liste vorgelegt. Diese kommt anders als die Listen der Bundesländer komplett ohne Fallbeispiele aus. Frau Voßhoff stützt sich lediglich auf die Kriterien der Artikel 29-Gruppe zur Einordnung von Verarbeitungsvorgängen gem. WP 248. Sobald zwei oder mehr der neun Kriterien bei einer Datenverarbeitung zutreffen, ist eine DFAS zwingend erforderlich. Medienberichten zu Folge hat Frau Voßhoff ihre Liste auch bereits an den Europäischen Datenschutzausschuss übermittelt, ohne sie mit den Ländern abzustimmen.
Eigentlich ist vorgesehen, dass der Europäische Datenschutzausschuss, in dem alle europäischen Aufsichtsbehörden vertreten sind, eine für alle EU-Mitgliedstaaten einheitliche, verbindliche Liste verabschiedet. Doch wann das passiert und was bis dahin gilt ist unklar.
Zu den Listen der einzelnen Bundesländer:
Baden-Württemberg
Baden-Württemberg stellt eine Liste für den nicht-öffentlichen Bereich zur Verfügung.
Bayern
Auf den Seiten des Bayerischen Landesamts für Datenschutzaufsicht und des Bayerischen Landesbeauftragten für den Datenschutz (öffentlicher Bereich) finden sich zur Zeit keine Angaben. Allerdings war das Bayerischen Landesamts für Datenschutzaufsicht an der Erstellung einer Liste (s.o.) maßgeblich beteiligt.
Berlin
Gleiches gilt für Berlin. Auch hier gibt es noch keine Liste auf der Homepage, aber Berlin war an der Erstellung einer Liste beteiligt.
Brandenburg
Hat eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich.
Bremen
Bremen hat seit dem 01.06.2018 auch eine Liste für den nicht-öffentlichen Bereich auf der Homepage. Vielen Dank an die Leser, die uns mit Ihren Kommentaren auf dem Laufenden halten.
Hamburg
Die Hansestadt hält eine List für den öffentlichen Bereich sowie eine für den nichtöffentlichen Bereich vor.
Hessen
Auch Hessen hat nun eine gemeinsame Liste für den öffentlichen und den nicht-öffentlichen Bereich veröffentlicht.
Mecklenburg-Vorpommern
Hält eine Liste für den öffentlichen und eine für den nicht-öffentlichen Bereich vor.
Niedersachsen
Niedersachsen hat ebenfalls eine gemeinsame Liste für den öffentlichen und nicht öffentlichen Bereich.
Nordrhein-Westfalen
Nordrhein-Westfalen hält eine Liste für den öffentlichen Bereich sowie eine für den nicht-öffentlichen Bereich (NRW verlinkt die von der DSK veröffentlichte Liste) vor.
Rheinland-Pfalz
Das gleiche Bild zeigt sich im benachbarten Rheinland-Pfalz. Auch hier gibt es eine Liste für den öffentlichen Bereich und eine für den nicht-öffentlichen.
Saarland
Das Saarland verlinkt inzwischen auch die gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich der DSK.
Sachsen
Inzwischen hat auch Sachsen eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich veröffentlicht.
Sachsen-Anhalt
Auch Sachsen-Anhalt hat inzwischen eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich herausgegeben.
Schleswig-Holstein
Schleswig-Holstein hat eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.
Thüringen
Ebenso Thüringen. Auch hier gibt es eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.
Es ist geplant, die von den deutschen Aufsichtsbehörden veröffentlichten Listen in Kürze unter den Mitgliedern der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) abzustimmen.
Die Listen unterliegen aufgrund von Art. 35 Abs. 6 DS-GVO dem Kohärenzverfahren gemäß Art. 63 DSGVO. Die Aufsichtsbehörden betonen durch die Bank weg, dass die Listen nicht als abschließend anzusehen sind. Vielmehr würden diese mit der Zeit sicherlich noch weiter gefüllt werden. Auch da bisher noch kein Kohärenzverfahren durchgeführt wurde sind die Listen als vorläufige Versionen zu verstehen.
Update 19.06.2018
Das Saarland und Sachsen-Anhalt haben inzwischen auch Listen auf ihren Homepages, die wir verlinkt haben. Vielen Dank an alle, die uns auf solche Änderungen hinweisen.
Update 27.06.2018
Auch Hessen hat nun eine Liste veröffentlicht.
Update 31.07.2018
Inzwischen gibt es eine Blacklist der DSK. Siehe unseren Beitrag hier.
Update 08.08.2018
Die Verlinkungen sind überprüft und angepasst worden. Inzwischen gibt es eine „Blacklist“ der DSK, die auch von einigen Aufsichtsbehörden verlinkt wird. Andere verlinken ihre eigenen Listen.
bezogener
26. Juni 2018 @ 16:08
Hessen hat auch veröffentlicht:
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/HBDI_Verarbeitungsvorg%C3%A4nge%20-Muss-Liste%20Berlin%20%28002%29.pdf
Berthold Model
19. Juni 2018 @ 11:49
Der Link zur Liste der Verarbeitungstätigkeiten von Thüringen funktioniert nicht mehr. Den richtigen Link konnte ich auf der Thüringer Seite leider nicht finden.
Daniela Windelband
19. Juni 2018 @ 11:53
Hallo Herr Model,
ich habe den Link gerade erneuert. Hier aber auch für Sie direkt https://www.tlfdi.de/mam/tlfdi/datenschutz/liste_dsfa.pdf
Vielen Dank für Ihren Hinweis.
Mit freundlichen Grüßen
Ihre Blogredaktion
Nicholas
18. Juni 2018 @ 16:23
Auch vom Saarland und Sachsen-Anhalt liegen jetzt Listen vor:
https://datenschutz.saarland.de/themen/datenschutz-folgenabschaetzung/
https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/liste-von-verarbeitungstaetigkeiten-mit-erforderlicher-datenschutz-folgenabschaetzung/
Daniela Windelband
19. Juni 2018 @ 8:48
Vielen Dank Nicholas für die Infos.
Blaze
6. Juni 2018 @ 22:20
Heck yeah this is exaclty what I needed.
Anonymous
1. Juni 2018 @ 11:19
Kann man sich bei der Defintion einer „umfangreichen Verarbeitung“ auf die 5.000.000 Betroffenen resp. 40% der betroffenen Personengruppe stützen?
Anonymous
1. Juni 2018 @ 10:51
Bremen hat zwischenzeitlich ebenfalls eine Liste veröffentlicht.
Daniela Windelband
1. Juni 2018 @ 13:48
Vielen Dank. Wir haben den Beitrag angepasst.
Joyce
6. Juni 2018 @ 23:15
I sereahcd a bunch of sites and this was the best.