Positivliste zur Datenschutz-Folgenabschätzung

Die Datenschutzkonferenz (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder, kurz: DSK) hat kürzlich eine Positivliste zur Datenschutz-Folgenabschätzung veröffentlicht. Darin finden sich insgesamt 16 Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung zwingend durchgeführt werden muss. Typische Verarbeitungstätigkeiten einer Zahnarztpraxis sind darin nicht enthalten.

Eine ganz wesentliche Neuerung der Datenschutz-Grundverordnung (DSGVO) ist die Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO. Demnach muss der Verantwortliche vorab eine Abschätzung der Folgen eines vorgesehenen Verarbeitungsvorgangs für den Schutz personenbezogener Daten durchführen, wenn dieser Verarbeitungsvorgang (bspw. wegen der Verwendung neuer Technologien oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Wie eine Datenschutz-Folgenabschätzung durchzuführen ist, wurde bereits vielfach erörtert. So hat etwa die DSK bereits im Juli 2017 ein eigenes Kurzpapier zur Datenschutz-Folgenabschätzung veröffentlicht. Viel Unsicherheit besteht indes nach wie vor zu der Frage, wann genau eine Datenschutz-Folgenabschätzung genau durchzuführen ist. Entscheidend dafür ist die Frage, wann eine Verarbeitung im Sinne der DSGVO

voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge

hat. In ihrem Kurzpapier hatte die DSK dazu lediglich angemerkt, dass dies Frage mit einer sog. Schwellenwertanalye (Abschätzung der Risiken der Verarbeitungsvorgänge) zu ermitteln ist. Der Praxis half dies indes nur wenig weiter. Einzelne Datenschutz-Aufsichtsbehörden waren daher zwischenzeitlich dazu übergegangen, sog. Positivlisten bzw. Blacklists herauszugeben. Darin sind Verarbeitungstätigkeiten aufgeführt, die in jedem Fall einer Datenschutz-Folgenabschätzung zu unterziehen sind.

Diesem – praktisch durchaus hilfreichen – Beispiel ist nun auch die DSK mit einer eigenen Positivliste zur Datenschutz-Folgenabschätzung gefolgt: In der “DSFA Muss-Liste 1.0” mit Stand  vom 25.07.2018 werden insgesamt 16 Verarbeitungstätigkeiten angegeben, für die zwingend eine Datenschutz-Folgenabschätzung durchzuführen ist. Zu jedem einzelnen Punkt enthält die Positivliste zur Datenschutz-Folgenabschätzung eine Beschreibung der Verarbeitungstätigkeit, typischen Einsatzfelder und Beispiele. Verarbeitungstätigkeiten, die typischwerweise in einer Zahnarztpraxis vorgenommen werden, sind in der Liste nicht aufgeführt.

By |2018-08-22T13:13:50+00:00August 22nd, 2018|News|