Sie befinden sich hier:

Positivliste zur Datenschutz-Folgenabschätzung

Die Aufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO (im Rahmen ihres jeweiligen Zuständigkeitsbereichs) eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO stets durchzuführen ist (Positivliste oder Blacklist). Eine derartige Liste hat nunmehr der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg veröffentlicht.

Damit die Datenschutz-Grundverordnung auch bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, beachtet wird, ist der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung verantwortlich, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden. (Art. 35 Abs. 1 Satz 1 DSGVO).

Die Datenschutz-Folgenabschätzung bezieht sich auf die verarbeiteten Daten, die verwendete Hard- und Software und die eingesetzten Prozesse eines konkreten Verarbeitungsvorgangs. Die Frage, ob ein Verarbeitungsvorgang die Durchführung einer Datenschutz-Folgenabschätzung erfordert, wird sowohl bei der Einführung neuer als auch bei einer wesentlichen Änderung bestehender Verarbeitungsvorgänge relevant.

Die Ergebnisse der Datenschutz-Folgenabschätzung müssen berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit der Datenschutz-Grundverordnung in Einklang steht.

Die für den Verantwortlichen zuständige Aufsichtsbehörde muss eine Liste mit Verarbeitungsvorgängen erstellen, bei denen stets eine Datenschutz-Folgenabschätzung durchzuführen ist („Positivliste“ oder „Blacklist“, Art. 35 Abs. 4 DSGVO). Diese Liste soll auf den Homepages der Aufsichtsbehörden veröffentlicht und fortlaufend aktualisiert werden.

Befindet sich der beabsichtigte Verarbeitungsvorgang auf dieser „Blacklist“, ist der Verantwortliche zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet. Die Beurteilung, ob der Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat, ist in diesen Fällen bereits durch die Aufsichtsbehörde erfolgt und wird dem Verantwortlichen insoweit abgenommen.

Bis zum jetzigen Zeitpunkt haben leider noch sehr wenige Aufsichtsbehörden eine derartige Positivliste veröffentlicht. Immerhin findet sich eine derartige „Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO“ auf der Homepage des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg und kann unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorg%C3%A4ngen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf heruntergeladen werden.

Die Liste enthält derzeit 15 Verarbeitungstätigkeiten, bei denen in jedem Fall eine Datenschutz-Folgenabschätzung durchzuführen ist.

nach oben