Themen A bis Z

Datenschutz-Folgenabschätzung

Die Art. 35 Abs. 1 Datenschutz-Grundverordnung (DS-GVO) verpflichtet alle Verantwortlichen, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn eine vorgesehene Verarbeitungstätigkeit aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Alle Verantwortlichen haben daher vor Aufnahme einer Verarbeitungstätigkeit zu prüfen, ob ein solches hohes Risiko voraussichtlich vorliegt. Die Prüfung ist zu dokumentieren.

In einigen Fällen gibt der Gesetzgeber unmittelbar vor, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies ist in Art. 35 Abs. 3 DS-GVO geregelt und betrifft insbesondere die umfangreiche Verarbeitung besonders sensibler Daten.

Um den Verantwortlichen die Einschätzung, ob eine Pflicht zur Durchführung einer DSFA vorliegt, weiter zu erleichtern, stellen die Aufsichtsbehörden auf der Grundlage von Art. 35 Abs. 4 DS-GVO Listen von Verarbeitungstätigkeiten auf, bei deren Durchführung auf jeden Fall eine DSFA durchzuführen ist. Auf dieser Seite finden Sie zwei Listen der Berliner Beauftragte für Datenschutz und Informationsfreiheit. Die Liste für den öffentlichen Bereich wurde mit Beschluss der Berliner Beauftragten vom 25. Mai 2018 angenommen und ist sofort gültig. Die Liste für den nichtöffentlichen Bereich und die öffentlichen Wettbewerbsunternehmen steht unter dem Vorbehalt der Prüfung durch den Europäischen Datenschutzausschuss (EDSA) gemäß Art. 64 DS-GVO. Sie ist daher lediglich als Entwurf zu betrachten und stellt keine verbindliche Aussage über die Verpflichtung zur Durchführung einer DSFA dar. Die Berliner Beauftragte für Datenschutz wird ihren Beschluss zur Annahme der Liste unter Berücksichtigung der Stellungnahme des EDSA spätestens nach Ablauf der Fristen gemäß Art. 64 Abs. 3 DS-GVO treffen.

Wird die Verarbeitungstätigkeit eines Verantwortlichen in der vorangehenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine Datenschutz-Folgenabschätzung durchzuführen wäre. Für die dann nötige Einzelfallprüfung bietet die Leitlinie des Europäischen Datenschutzausschusses zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 wahrscheinlich ein hohes Risiko mit sich bringt, und die Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder Nr. 5 zur Datenschutz-Folgenabschätzung und Nr. 18 zum Begriff des Risikos für die Rechte und Freiheiten natürlicher Personen nähere Hinweise.

zurück zur Seite: