Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Datenschutz-Folgenabschätzungen und Listen von Verarbeitungsvorgängen

Eine Datenschutz-Folgenabschätzung ist eine für bestimmte Verarbeitungsvorgänge vorgeschriebene strukturierte Risikoanalyse. Sie dient einer Vorabbewertung bestimmter Verarbeitungsvorgänge, die ein Verantwortlicher vornehmen möchte.

Kreis darin digitale Datenverarbeitungssymbole z.B. Laptop, Aktenmappe, Ordner
Quelle: ©thodonal - stock.adobe.com

Wann muss eine Datenschutz-Folgenabschätzung erstellt werden?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung (DSGVO) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Artikel 35 Absatz 3 Datenschutzgrundverordnung (DSGVO) nennt explizit drei Klassen von Verarbeitungen, für die in jedem Fall eine DSFA durchgeführt werden muss. Diese sind:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Artikel 35 Absatz 4 DSGVO verpflichtet die Datenschutzaufsichtsbehörden Listen von Verarbeitungsvorgängen zu erstellen, zu veröffentlichen und an den Europäischen Datenschutzausschuss (EDSA) zu übermitteln, für die in jedem Fall eine Datenschutz-Folgenabschätzung erforderlich ist. In Deutschland wird dabei zwischen dem öffentlichen und dem nicht-öffentlichen Bereich unterschieden:

 

Datenschutz-Folgenabschätzungen im nicht-öffentlichen Bereich

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat eine gemeinsame Liste für Datenverarbeitungen im nicht-öffentlichen Bereich nach Artikel 35 Absatz 4 DSGVO verabschiedet, für die eine Datenschutz-Folgenabschätzung erstellt werden muss.

 

Datenschutz-Folgenabschätzungen bei öffentlichen Stellen

Auch öffentliche Stellen des Bundes sind bei bestimmten Verarbeitungen personenbezogener Daten verpflichtet, eine Datenschutz-Folgenabschätzung zu erstellen. Eine Liste dieser Verarbeitungsvorgänge wird durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) erstellt.