Positivliste zur Datenschutz-Folgenabschätzung

Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz: DSK) hat kürzlich eine Positivliste zur Datenschutz-Folgenabschätzung veröffentlicht. Darin finden sich insgesamt 16 Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung zwingend durchgeführt werden muss.

Eine ganz wesentliche Neuerung der Datenschutz-Grundverordnung (DSGVO) ist die Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO. Demnach muss der Verantwortliche vorab eine Abschätzung der Folgen eines vorgesehenen Verarbeitungsvorgangs für den Schutz personenbezogener Daten durchführen, wenn dieser Verarbeitungsvorgang (bspw. wegen der Verwendung neuer Technologien oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Wie eine Datenschutz-Folgenabschätzung durchzuführen ist, wurde bereits vielfach erörtert. So hat etwa die DSK bereits im Juli 2017 ein eigenes Kurzpapier zur Datenschutz-Folgenabschätzung veröffentlicht.

Viel Unsicherheit besteht indes nach wie vor zu der Frage, wann genau eine Datenschutz-Folgenabschätzung genau durchzuführen ist. Entscheidend dafür ist die Frage, wann eine Verarbeitung im Sinne der DSGVO

voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge

hat. In ihrem Kurzpapier hatte die DSK dazu lediglich angemerkt, dass dies Frage mit einer sog. Schwellenwertanalyse (Abschätzung der Risiken der Verarbeitungsvorgänge) zu ermitteln ist. In der Praxis half dies indes nur wenig weiter. Einzelne Datenschutz-Aufsichtsbehörden waren daher zwischenzeitlich dazu übergegangen, sog. Positivlisten bzw. Blacklists herauszugeben. Darin sind Verarbeitungstätigkeiten aufgeführt, die in jedem Fall einer Datenschutz-Folgenabschätzung zu unterziehen sind.

Diesem – praktisch durchaus hilfreichen – Beispiel ist nun auch die DSK mit einer eigenen Positivliste zur Datenschutz-Folgenabschätzung gefolgt: In der “DSFA Muss-Liste 1.0” mit Stand vom 25.07.2018 sind insgesamt 16 Verarbeitungstätigkeiten aufgeführt, für die zwingend eine Datenschutz-Folgenabschätzung vorzunehmen ist. Zu jedem einzelnen Punkt enthält die Positivliste zur Datenschutz-Folgenabschätzung eine Beschreibung der Verarbeitungstätigkeit, typischen Einsatzfelder und Beispiele. Zu beachten ist lediglich, dass die Positivliste der DSK nicht abschließend ist.

Kommentar verfassen