DSGVO - erste Verordnung der Datenschutzbehörde zur Datenschutz-Folgenabschätzung

Am 25.5.2018 wurde im Bundesgesetzblatt die Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV) kundgemacht. Damit wird geregelt, für welche Datenverarbeitungen eine Datenschutz-Folgenabschätzung nicht notwendig ist.

Was ist eine Datenschutz-Folgenabschätzung?

Damit die Datenschutzgrundverordnung (DSGVO) in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein. Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit der DSGVO in Einklang steht. Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungsvorgänge ein hohes Risiko bergen, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf verfügbare Technik und Implementierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Verarbeitung konsultiert werden (DSGVO Erwägungsgrund 84).

Verarbeitungsvorgänge, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, sind insbesondere solche, bei denen neue Technologien eingesetzt werden oder die neuartig sind (DSGVO Erwägungsgrund 89).

Eine Datenschutz-Folgenabschätzung dient dazu, die spezifische Eintrittswahrscheinlichkeit und die Schwere des Risikos unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos zu bewerten und Maßnahmen, Garantien und Verfahren zu prüfen, durch die dieses Risiko eingedämmt und der Schutz personenbezogener Daten sichergestellt werden soll (DSGVO Erwägungsgrund 90).

Nach Art 35 Abs. 1 DSGVO muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn eine Verarbeitung (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Eine Datenschutz-Folgenabschätzung ist gemäß Art 35 Abs 3 insbesondere in folgenden Fällen erforderlich:

a)

systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b)

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c)

   systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Aufsichtsbehörde hat eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist zu erstellen (Art 35 Abs. 4 DSGVO). Eine derartige Liste hat die Datenschutzbehörde noch nicht erstellt.

Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist (Art 35 Abs. 5 DSGVO). Diese Liste hat die Datenschutzbehörde nunmehr in der Verordnung über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV) veröffentlicht.

Ausnahmen von der Datenschutz-Folgenabschätzung

Gem. Anlage 1 zur DSFA-AV sind folgende Datenverarbeitungen von der Datenschutz-Folgenabschätzung ausgenommen:

  • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • Personalverwaltung
  • Mitgliederverwaltung
  • Kundenbetreuung und Marketing für eigene Zwecke
  • Sach- und Inventarverwaltung
  • Register, Evidenzen, Bücher
  • Zugriffsverwaltung für EDV-Systeme
  • Zutrittskontrollsysteme
  • Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
  • Bild- und Akustikdatenverarbeitung in Echtzeit
  • Bild- und Akustikverarbeitungen zu Dokumentationszwecken
  • Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken
  • Rechts- und Beratungsberufe
  • Archivierung, wissenschaftliche Forschung und Statistik
  • Unterstützungsbekundungen
  • Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
  • öffentliche Aufgabenverwaltung
  • Förderverwaltung
  • Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
  • Aktenverwaltung (Büroautomation) und Verfahrensführung
  • Organisation von Veranstaltungen
  • Preise und Ehrungen

Kommentar schreiben

Kommentare: 0