Datenschutz-Folgenabschätzung – Begriffserklärung und Durchführung im Überblick

Die Datenschutz-Folgenabschätzung wird mit der bekannten Vorabkontrolle des früheren deutschen Datenschutzrechtes verglichen (§ 4d Abs. 5 BDSG). Diese wurde damals durchgeführt, wenn mit besonders sensiblen Daten gearbeitet wurde oder eine Bewertung der Persönlichkeit des Betroffenen innerhalb der Datenverarbeitung stattgefunden hat. Der Datenschutzbeauftragte prüfte die damit verbundenen Risiken für die Rechte und Freiheiten der Betroffenen und gab eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung ab. Ähnlich sieht es bei der heutigen Datenschutz-Folgenabschätzung aus.

Inhaltsverzeichnis

Was ist eine Datenschutz-Folgenabschätzung?

Eine Datenschutz-Folgenabschätzung wird zur Beschreibung, Bewertung und Eindämmung von Risiken genutzt, die durch die Verarbeitung personenbezogener Daten entstehen und zu einer Rechtsverletzung der betroffenen Personen führen können. Um die Betroffenen zu schützen, müssen vor Beginn der geplanten Datenverarbeitung die möglichen Folgen abgeschätzt und dokumentiert werden.

Wann muss eine Datenschutz-Folgenabschätzung durchgeführt werden?

Prinzipiell muss eine Datenschutz-Folgenabschätzung immer dann durchgeführt werden, wenn innerhalb einer Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Beispielhaft könnte dies nach Art. 35 Abs. 3 DSGVO bei einer systematischen weiträumigen Überwachung öffentlich zugänglicher Bereiche der Fall sein. Im Vergleich zu der früheren Vorabkontrolle, kann es bei der Datenschutz-Folgenabschätzung zu größeren Anwendungsbereichen kommen.

Um Unklarheiten zu beseitigen, wird nach Art. 35 Abs. 4 DSGVO von den Aufsichtsbehörden eine Liste von Verarbeitungsvorgängen erstellt, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO durchzuführen ist. Diese von der Datenschutzkonferenz (DSK) veröffentlichte Liste wird oft als Muss-Liste oder Blacklist bezeichnet.

Muss-Liste / Blacklist

Neben dieser bundesweiten Muss-Liste der DSK, gibt es weitere Blacklists der diversen Aufsichtsbehörden der Länder:

Blacklist Baden-Württemberg:

Blacklist Bayern:

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Berlin:

Blacklist Brandenburg:

Blacklist Bremen:

Blacklist Hamburg:

Blacklist Hessen:

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Mecklenburg-Vorpommern:

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Niedersachsen:

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Nordrhein-Westfalen:

öffentlicher Bereich

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Rheinland-Pfalz:

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Saarland (keine eigene Liste):

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Sachsen:

Blacklist Sachsen-Anhalt:

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Schleswig-Holstein (keine eigene Liste):

Verweis auf Liste der DSK für nicht-öffentlichen Bereich

Blacklist Thüringen:
Blacklist des Bundesdatenschutzbeauftragten für öffentliche Stellen des Bundes:

Zudem ist es nach Art. 35 Abs. 5 DSGVO den Aufsichtsbehörden erlaubt, eine Liste mit Verarbeitungsvorgängen zu veröffentlichen, bei denen explizit keine Datenschutz-Folgenabschätzung notwendig ist.

Zur Hilfestellung gibt es u. a. folgende Kriterien zur Einordnung des Risikos von Verarbeitungsvorgängen:

Vertrauliche oder höchst persönliche Daten

Datenverarbeitung in großem Umfang

Systematische Überwachung

Anwendung neuer technologischer oder organisatorischer Lösungen

Bewerten oder Einstufen (Scoring)

Datenverarbeitung in großem Umfang

Grundsätzlich gilt, je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist eine Datenschutz-Folgenabschätzung notwendig. Aber auch bei nur einem vorhandenen Kriterium kann ein hohes Risiko bestehen.

Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung

Um zu prüfen, ob eine Datenschutz-Folgenabschätzung notwendig ist, stellen Sie sich die folgenden Fragen:

Wird der durchzuführende Verarbeitungsvorgang auf der Muss-Liste genannt?

Handelt es sich um eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (gem. Art. 35 Abs. 3 DSGVO)?

Handelt es sich um eine umfangreiche Verarbeitung von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO?

Handelt es sich um eine systematische Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 DSGVO)?

Besteht ein hohes Risiko (gem. Art. 35 Abs. 1 DSGVO)?

Bei einer Beantwortung mit „Nein“, muss keine Datenschutz-Folgenabschätzung durchgeführt werden.

Wie sieht die Durchführung einer Datenschutz-Folgenabschätzung aus?

Laut der Datenschutzverordnung muss die Durchführung einer Datenschutz-Folgenabschätzung mindestens diese fünf Schritte beinhalten:

  1. Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke
  2. Beurteilung der Verhältnismäßigkeit und Notwendigkeit
  3. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
  4. Maßnahmen zur Bewältigung dieser Risiken
  5. Ergebnis

Außerdem soll nach Art. 35 Abs. 2 DSGVO bei der Durchführung stets der Rat des Datenschutzbeauftragten eingeholt werden, sofern ein solcher im Unternehmen benannt wurde.

Datenschutz-Folgenabschätzung mit datenzeit – Sparen Sie Zeit & Nerven!

Die Erstellung einer Datenschutz-Folgenabschätzung erfordert ebenso wie die meisten Prozesse im Datenschutz Expertise, Erfahrung und viel Zeit. Wir von datenzeit unterstützen Sie bei sämtlichen Belangen rund um das Thema Datenschutz und geben Ihnen somit die Zeit zurück, die Sie für Ihre eigentlichen unternehmerischen Aufgaben benötigen. Melden Sie sich einfach telefonisch bei uns, schreiben Sie eine Mail oder nutzen Sie das Kontaktformular – wir beraten Sie gern und stehen Ihnen mit Rat und Tat zur Seite.

Haben Sie noch Fragen zum Datenschutz?

Johannes Schwiegk, Volljurist

Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den Datenschutz in Ihrem Unternehmen.

Häufig gestellte Fragen zur Datenschutz-Folgenabschätzung

Bei einer Datenschutz-Folgeabschätzung handelt es sich um einen Prozess mittels dem die Folgen eingeschätzt werden, die durch die Verarbeitung von personenbezogenen Daten voraussichtlich zu erwarten sind.

Eine Datenschutz-Folgeabschätzung muss immer dann durchgeführt werden, wenn durch die Verarbeitung von personenbezogenen Daten ein hohes Risiko „für die Rechte und Freiheiten natürlicher Personen“ besteht.

Die Datenschutz-Folgeabschätzung muss vom Verantwortlichen durchgeführt werden. Dieser kann den Datenschutzbeauftragten bei der Durchführung der Abschätzung zu Rate ziehen.

Standort Wuppertal

Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de

Standort Essen

Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de