• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how

Die Datenschutz-Folgenabschätzung – Blacklist der Datenschutzkonferenz

Um Unternehmen die Entscheidungsfindung ob es einer DSFA bedarf oder nicht, zu erleichtern, sind die Aufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO dazu verpflichtet, Negativlisten, sogenannte „Blacklists“ mit Verarbeitungsvorgängen zu veröffentlichen, bei deinen eine DSFA erforderlich ist. Diese Listen können auf den Internetseiten der einzelnen Datenschutzaufsichtsbehörden heruntergeladen werden. Neben den Listen der einzelnen Datenschutzaufsichtsbehörden gibt es eine gemeinsame Liste, die von der Datenschutzkonferenz (DSK) veröffentlicht wurde und aktuell in Version 1.1 vorliegt.

Gemäß der „Blacklist“ der DSK, muss unter anderem eine DSFA durchgeführt werden wenn:

  • Biometrische Daten zur eindeutigen Identifizierung natürlicher Personen verarbeitet werden, soweit die Verarbeitung (das Vorhandensein eines Folgemerkmals genügt):
    • schutzbedürftige Personen betrifft,
    • der systematischen Überwachung dient,
    • unter Hinzuziehung neuartiger technologischer oder organisatorischer Lösungen erfolgt
    • der Bewertung oder der Einstufung, dem sogenannten Scoring, betroffener Personen dient,
    • das Abgleichen oder zusammenführen von Datensetzen beinhaltet,
    • eine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung beinhaltet,
    • betroffene Personen daran hindert, ein Recht, die Nutzung einer Dienstleistung oder die Durchführung eines Vertrags, auszuüben.
  • Umfangreich Daten über den Aufenthalt von Personen verarbeitet werden z. B. bei dem offline-Tracking von Kundenbewegungen in Warenhäusern;
  • Eine Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und eine Verarbeitung der so zusammengeführten Daten stattfindet, sofern:
    • die Zusammenführung oder Verarbeitung der personenbezogenen Daten in großem Umfang vorgenommen werden,
    • die Verarbeitung und Zusammenführung für Zwecke erfolgt, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
    • die Anwendung von Algorithmen einschließt, die für die betroffenen Personen nicht nachvollziehbar sind, und
    • der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können, z. B. beim Scoring durch Auskunfteien;
  • Umfangreich Angaben über Verhaltensweisen von Beschäftigten zur Bewertung der Arbeitsfähigkeit verarbeitet werden, welche zur Bewertung der Arbeitstätigkeit derart eingesetzt werden können, dass sich aus ihnen Rechtsfolgen oder andere erhebliche Beeinträchtigungen für die Betroffenen ergeben können z. B. bei der Geolokalisierung von Beschäftigten.

Die vollständige Liste kann hier als PDF bezogen werden. Jedoch muss beachtet werden, dass diese Liste nicht vollständig ist. Auch wenn keine dieser Situationen einschlägig ist, kann eine DSFA erforderlich sein, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zur Folge hat.

Art. 35 Abs. 5 DSGVO statuiert des Weiteren, dass die Aufsichtsbehörden auch die Möglichkeit haben, eine „Whitelist“, eine Liste mit Verarbeitungsvorgängen für die keine Datenschutzfolgenabschätzung durchzuführen ist, zu erstellen. Neben den Aufsichtsbehörden aus Belgien, Österreich und Spanien hat vor kurzem auch die französische Aufsichtsbehörde CNIL solch eine Liste veröffentlicht.

Näheres dazu können Sie hier finden.

ÄHNLICHE BEITRÄGE