Die DSGVO sieht in Art. 35 vor, dass bei einer Datenverarbeitung mit hohem Risiko für „Rechte und Freiheiten natürlicher Personen“ eine sog. Datenschutzfolgenabschätzung (DSFA) durchzuführen ist.
Folglich ist bei bestimmten Verarbeitungsvorgängen von personenbezogenen Daten abzuschätzen, welche Folgen sie für den Schutz dieser Daten haben. Wann dies der Fall ist, wird sehr allgemein und nicht abschließend in Art. 35 Abs. 3 DSGVO dargestellt. Eine Hilfestellung zur Risikobewertung fehlt.
Allerdings führen Bund und Länder die für die DSFA relevanten Verarbeitungsvorgänge in sog. Positivlisten auf. Diese Listen weichen jedoch zum Teil inhaltlich voneinander ab. Zum Beispiel enthalten einige Landeslisten Vorgänge, die in der Bundesliste fehlen und andersherum. Erhebliche Abweichungen finden sich auch gegenüber den Listen anderer Mitgliedsländer der EU. Wird eine Verarbeitungstätigkeit gar nicht gelistet, folgt daraus nicht automatisch, dass keine DSFA durchzuführen sei, es gibt also keine Negativliste. Stattdessen hat der Verantwortliche selbst einzuschätzen, ob eine DSFA z.B. aufgrund der Verarbeitungsart oder des -umfangs erforderlich ist.
Wir beraten Sie gerne – sowohl bei der Feststellung der Erforderlichkeit einer DSFA als auch bei deren praktischen Durchführung.
Weitere Beiträge zur DSGVO, sowie IT-Sicherheits-Themen, erscheinen monatlich in unserem Magazin-Newsletter: HK2 Der Rote Faden