Eine Datenschutz-Folgenabschätzung wird zur Beschreibung, Bewertung und Eindämmung von Risiken genutzt, die durch die Verarbeitung personenbezogener Daten entstehen und zu einer Rechtsverletzung der betroffenen Personen führen können. Um die Betroffenen zu schützen, müssen vor Beginn der geplanten Datenverarbeitung die möglichen Folgen abgeschätzt und dokumentiert werden.
Prinzipiell muss eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn innerhalb einer Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Beispielhaft könnte dies nach Art. 35 Abs. 3 DSGVO bei einer systematischen weiträumigen Überwachung öffentlich zugänglicher Bereiche der Fall sein. Im Vergleich zu der früheren Vorabkontrolle, kann es bei der Datenschutz-Folgenabschätzung zu größeren Anwendungsbereichen kommen.
Um Unklarheiten zu beseitigen, wird nach Art. 35 Abs. 4 DSGVO von den Aufsichtsbehörden eine Liste von Verarbeitungsvorgängen erstellt, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese von der Datenschutzkonferenz (DSK) veröffentlichte Liste wird oft als Muss-Liste oder Blacklist bezeichnet.
Muss-Liste / Blacklist zum Download:
Muss-Liste (Blacklist) der DSK zum Download
Muss-Liste (Blacklist) der DSK in englischer Sprache zum Download
Neben dieser bundesweiten Muss-Liste der DSK, gibt es weitere Blacklists der diversen Aufsichtsbehörden der Länder:
Blacklist Baden-Württemberg:
Blacklist Bayern:
Blacklist Berlin:
Blacklist Brandenburg:
Blacklist Bremen:
Blacklist Hamburg:
Blacklist Hessen:
Blacklist Mecklenburg-Vorpommern:
Blacklist Niedersachsen:
Blacklist Nordrhein-Westfalen:
Blacklist Rheinland-Pfalz:
Blacklist Saarland (keine eigene Liste):
Blacklist Sachsen:
Blacklist Sachsen-Anhalt:
Blacklist Schleswig-Holstein (keine eigene Liste):
Zudem ist es nach Art. 35 Abs. 5 DSGVO den Aufsichtsbehörden erlaubt, eine Liste mit Verarbeitungsvorgängen zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzung notwendig ist.
Zur Hilfestellung gibt es u. a. folgende Kriterien zur Einordnung des Risikos von Verarbeitungsvorgängen:
Grundsätzlich gilt, je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist eine Datenschutz-Folgenabschätzung notwendig. Aber auch bei nur einem vorhandenen Kriterium kann ein hohes Risiko bestehen.
Um zu prüfen, ob eine Datenschutz-Folgenabschätzung notwendig ist, stellen Sie sich die folgenden Fragen:
Bei einer Beantwortung mit „Nein“, muss keine Datenschutz-Folgenabschätzung durchgeführt werden.
Laut der Datenschutzverordnung muss die Durchführung einer Datenschutz-Folgenabschätzung mindestens diese fünf Schritte beinhalten:
Außerdem soll nach Art. 35 Abs. 2 DSGVO bei der Durchführung stets der Rat des Datenschutzbeauftragten eingeholt werden, sofern ein solcher im Unternehmen benannt wurde.
Die Erstellung einer Datenschutz-Folgenabschätzung erfordert ebenso wie die meisten Prozesse im Datenschutz Expertise, Erfahrung und viel Zeit. Wir von datenzeit unterstützen Sie bei sämtlichen Belangen rund um das Thema Datenschutz und geben Ihnen somit die Zeit zurück, die Sie für Ihre eigentlichen unternehmerischen Aufgaben benötigen. Melden Sie sich einfach telefonisch bei uns, schreiben Sie eine Mail oder nutzen Sie das Kontaktformular – wir beraten Sie gern und stehen Ihnen mit Rat und Tat zur Seite.
Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den Datenschutz in Ihrem Unternehmen.
Bei einer Datenschutz-Folgeabschätzung handelt es sich um einen Prozess mittels dem die Folgen eingeschätzt werden, die durch die Verarbeitung von personenbezogenen Daten voraussichtlich zu erwarten sind.
Eine Datenschutz-Folgeabschätzung muss immer dann durchgeführt werden, wenn durch die Verarbeitung von personenbezogenen Daten ein hohes Risiko „für die Rechte und Freiheiten natürlicher Personen“ besteht.
Die Datenschutz-Folgeabschätzung muss vom Verantwortlichen durchgeführt werden. Dieser kann den Datenschutzbeauftragten bei der Durchführung der Abschätzung zu Rate ziehen.
Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de
Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de
