Sind die Rechte und Freiheiten von Personen durch eine Datenverarbeitung einem hohen Risiko ausgesetzt, so ist vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung durchzuführen. Dies regelt Art. 35 DSGVO.

Wann ist eine DSFA vorzunehmen?

Grundsätzlich ergibt sich dies aus einer Risikoabschätzung der Verarbeitungsvorgänge. Ist ein hohes Risiko zu erwarten, muss eine DSFA durchgeführt werden. Art. 35 Abs. 3 benennt Fälle, in denen eine DSFA durchzuführen ist:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10;
  3. systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.

Art. 35 Abs. 4 schreibt vor, dass die Aufsichtsbehörden, aufbauend auf den Leitlinien der Artikel 29-Datenschutzgruppe, eine Blacklist für die Fälle, in denen eine DSFA zwingend erforderlich ist, erstellen.

Viele Landesdatenschutzaufsichtsbehörden haben bereits eine solche Blacklist auf ihren Internetseiten veröffentlicht (Stand 30.05.2018 13:00 Uhr). Eines vorweg: die Fälle, in denen die Aufsichtsbehörden eine DSFA vorschreiben sind sehr ähnlich. Allerdings unterscheiden sich manche Listen im Detail dann doch voneinander. Auffallend ist, dass einige Aufsichtsbehörden nur Listen für den öffentlichen Bereich herausgegeben haben, andere wiederum welche die nur für den nicht-öffentlichen Bereich gelten und einige haben gemeinsame Listen für den öffentlichen und nicht-öffentlichen Bereich herausgegeben. Hier zeigt sich erneut die föderale Struktur Deutschland, die es den Unternehmen nicht immer einfach macht. Basis für viele Listen war nach Angaben der Behörden eine Ausarbeitung der Berliner Beauftragten für Datenschutz und Informationsfreiheit auf Basis der Beiträge von Mitgliedern der Unterarbeitsgruppe Datenschutz-Folgenabschätzung des Arbeitskreises Grundsatzes der Datenschutzkonferenz. Der ursprüngliche Entwurf dieses Textes stammte wohl vom Bayerischen Landesamt für Datenschutzaufsicht.

Es ist geplant, die von den deutschen Aufsichtsbehörden veröffentlichten Listen in Kürze unter den Mitgliedern der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) abzustimmen. Dass dies nötig ist, zeigen die kleinen aber feinen Unterschiede. So ist beispielsweise in Hamburg und einigen anderen Bundesländern eine Datenschutz-Folgenabschätzung für Datenverarbeitungen mit besonderen Kategorien (Art. 9 Abs. 1 und Art. 10) in einem Drittland Pflicht, in Baden-Württemberg nicht.

Auch die Bundesdatenschutzbeauftragte hat eine Liste vorgelegt. Diese kommt anders als die Listen der Bundesländer komplett ohne Fallbeispiele aus. Frau Voßhoff stützt sich lediglich auf die Kriterien der Artikel 29-Gruppe zur Einordnung von Verarbeitungsvorgängen gem. WP 248. Sobald zwei oder mehr der neun Kriterien bei einer Datenverarbeitung zutreffen, ist eine DFAS zwingend erforderlich. Medienberichten zu Folge hat Frau Voßhoff ihre Liste auch bereits an den Europäischen Datenschutzausschuss übermittelt, ohne sie mit den Ländern abzustimmen.

Eigentlich ist vorgesehen, dass der Europäische Datenschutzausschuss, in dem alle europäischen Aufsichtsbehörden vertreten sind, eine für alle EU-Mitgliedstaaten einheitliche, verbindliche Liste verabschiedet. Doch wann das passiert und was bis dahin gilt ist unklar.

Zu den Listen der einzelnen Bundesländer:

Baden-Württemberg

Baden-Württemberg stellt eine Liste für den nicht-öffentlichen Bereich zur Verfügung.

Bayern

Auf den Seiten des Bayerischen Landesamts für Datenschutzaufsicht und des Bayerischen Landesbeauftragten für den Datenschutz (öffentlicher Bereich) finden sich zur Zeit keine Angaben. Allerdings war das Bayerischen Landesamts für Datenschutzaufsicht an der Erstellung einer Liste (s.o.) maßgeblich beteiligt.

Berlin

Gleiches gilt für Berlin. Auch hier gibt es noch keine Liste auf der Homepage, aber Berlin war an der Erstellung einer Liste beteiligt.

Brandenburg

Hat eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich.

Bremen

Bremen hat seit dem 01.06.2018 auch eine Liste für den nicht-öffentlichen Bereich auf der Homepage. Vielen Dank an die Leser, die uns mit Ihren Kommentaren auf dem Laufenden halten.

Hamburg

Die Hansestadt hält eine List für den öffentlichen Bereich  sowie eine für den nichtöffentlichen Bereich vor.

Hessen

In Hessen sucht man ebenfalls vergeblich nach Informationen zur Blacklist.

Mecklenburg-Vorpommern

Hat hält eine gemeinsame Liste für den öffentlichen und nichtöffentlichen Bereich vor.

Niedersachsen

Niedersachsen hat ebenfalls eine gemeinsame Liste für den öffentlichen und nicht öffentlichen Bereich.

Nordrhein-Westfalen

Nordrhein-Westfalen hält eine Liste für den öffentlichen Bereich sowie eine für den nicht-öffentlichen Bereich vor.

Rheinland-Pfalz

Das gleiche Bild zeigt sich im benachbarten Rheinland-Pfalz. Auch hier gibt es eine Liste für den öffentlichen Bereich und eine für den nicht-öffentlichen.

Saarland

Das Saarland hat inzwischen auch eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich herausgegeben.

Sachsen

Ebenso wenig Infos gibt es in Sachsen.

Sachsen-Anhalt

Auch Sachsen-Anhalt hat inzwischen eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich herausgegeben.

Schleswig-Holstein

Schleswig-Holstein hat eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.

Thüringen

Ebenso Thüringen. Auch hier gibt es eine gemeinsame Liste für den öffentlichen und nicht-öffentlichen Bereich.

Es ist geplant, die von den deutschen Aufsichtsbehörden veröffentlichten Listen in Kürze unter den Mitgliedern der Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder (DSK) abzustimmen.

Die Listen unterliegen aufgrund von Art. 35 Abs. 6 DS-GVO dem Kohärenzverfahren gemäß Art. 63 DSGVO. Die Aufsichtsbehörden betonen durch die Bank weg, dass die Listen nicht als abschließend anzusehen sind. Vielmehr würden diese mit der Zeit sicherlich noch weiter gefüllt werden. Auch da bisher noch kein Kohärenzverfahren durchgeführt wurde sind die Listen als vorläufige Versionen zu verstehen.

Update 19.06.2018

Das Saarland und Sachsen-Anhalt haben inzwischen auch Listen auf ihren Homepages, die wir verlinkt haben. Vielen Dank an alle, die uns auf solche Änderungen hinweisen.