Eigentlich ganz einfach: Datenschutz-Folgenabschätzung
Immer wieder ist es bei der Prüfung der Verarbeitungen oder Verarbeitungsreihen (vergl. Art. 4 Nr. 2 DSGVO) wichtig, dass die ggf. notwendige Datenschutz-Folgenabschätzung (vergl. Art. 35 DSGVO) vorgenommen wird. Wenn diese unterbleibt, drohen Geldbußen (vergl. Art. 83 Abs. 4 lit. a DSGVO).
Leider gibt es nicht »eine« Liste, sondern mehrere. Je nach Bundesland muss daher in der, von der örtlich zuständigen Landesdatenschutzbehörde veröffentlichten Liste, nachgeschaut werden.
Und ungünstigerweise entpflichtet die Liste aber nicht davon, dass man selbst prüft, ob ein besonderes Risiko vorliegt … Aber die Listen sind schon eine hervorragende Hilfe!
Hier ist eine Zusammenstellung der Veröffentlichungen der deutschen Landesdatenschutzbehörden. Daraus ergibt sich, bei welchen Verarbeitungsvorgängen zwingend eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO vorzunehmen ist (»Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO, für die gemäß Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung von Verantwortlichen im nicht öffentlichen Bereich durchzuführen ist«).
Und im Zweifel lieber den Datenschutzbeauftragten fragen.… ;o)
Web | pdf-Datei | |
---|---|---|
Bund/BfDI | https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/ListeVerarbeitungsvorgaenge.html | https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile&v=4 |
Baden-Württemberg | https://www.baden-wuerttemberg.datenschutz.de | |
Berlin | https://www.datenschutz-berlin.de/wirtschaft-und-verwaltung/datenschutz-folgenabschaetzung/ | https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/datenschutzfolgeabschaetzung/BlnBDI-2018-DSFA-nicht-oeffentlich.pdf |
Brandenburg | http://www.lda.brandenburg.de/sixcms/detail.php/bb1.c.596771.de | https://www.lda.brandenburg.de/media_fast/4055/DSFA_Muss_Liste_Allgemein_17102018.pdf |
Bremen | https://www.datenschutz.bremen.de/detail.php?template=20_search_d&search%5Bsend%5D=true&lang=de&search%5Bvt%5D=datenschutzfolgeabsch%E4tzung | |
Hamburg | https://datenschutz-hamburg.de/dsgvo-information/art-35-mussliste-nicht-oeffentlich/ | https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20f%C3%BCr%20den%20nicht-%C3%B6ffentlicher%20Bereich%20-%20Stand%2017.10.2018.pdf |
Hessen | https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/HBDI_Verarbeitungsvorg%C3%A4nge%20-Muss-Liste%20Berlin%20%28002%29.pdf | |
Mecklenburg-Vorpommern | https://www.datenschutz-mv.de/static/DS/Dateien/DS-GVO/Hilfsmittel%20zur%20Umsetzung/Liste%20von%20Verarbeitungsvorg%C3%A4ngen%20nach%20Art.%2035%20Abs.%204%20DS-GVO/MV_DSFA_Muss-Liste.pdf | |
Niedersachsen | https://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/liste_von_verarbeitungsvorgaengen_nach_art_35_abs_4_dsgvo/liste-von-verarbeitungsvorgaengen-nach-art-35-abs-4-ds-gvo-164661.html | https://www.lfd.niedersachsen.de/download/131098/Liste_von_Verarbeitungsvorgaengen_nach_Art._35_Abs._4_DS-GVO.pdf |
Nordrhein-Westfalen | https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Datenschutz-Folgenabschaetzung.html | https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Liste-Art-35–4‑NRW-NOeB_v1_.pdf |
Rheinland-Pfalz | https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/datenschutz-folgenabschaetzung/ | https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_NOE.pdf |
Saarland | https://datenschutz.saarland.de/themen/datenschutz-folgenabschaetzung/ | https://datenschutz.saarland.de/fileadmin/datenschutz/ds-gvo/ds-folgenabschaetzung/Muss-Liste_SL.pdf |
Sachsen-Anhalt | https://www.saechsdsb.de/liste-verarbeitungsvorgaenge-dsfa | https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Internationales/Datenschutz-Grundverordnung/Liste_von_Verarbeitungstaetigkeiten_mit_erforderlicher_Datenschutz-Folgenabschaetzung/Liste_der_Verarbeitungstaetigkeiten_fuer_die_eine_DSFA_durchzufuehren_ist_-_20181017.pdf |
Schleswig-Holstein | https://www.datenschutzzentrum.de/dsgvo/#dsfa | https://datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20180525_LfD-SH_DSFA_Muss-Liste_V1.0.pdf |
Thüringen | https://www.tlfdi.de/tlfdi/europa/europaeischedsgvo/index.aspx | https://www.tlfdi.de/mam/tlfdi/datenschutz/dsfa_muss-liste_04_07_18.pdf |