In bestimmten Fällen ist nach der neuen Datenschutzgrundverordnung eine sogenannte Datenschutzfolgeabschätzung notwendig, die für Unternehmen viel Aufwand bedeutet. Bisher war für Unternehmen aber nur schwer zu recherchieren, wann genau dieser Fall eintritt. Eine neue einheitliche „Muss-Liste“ schafft nun Klarheit.

Zu den vielen Unschärfen, die die neue Datenschutzgrundverordnung (DSGVO) hat, zählte bisher auch folgende Fragestellung: Welche Voraussetzungen müssen konkret erfüllt sein, damit ein Unternehmen verpflichtend eine sogenannte Datenschutzfolgeabschätzung machen muss?

Artikel 35 schafft Klarheit – zumindest theoretisch

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch“, heißt es in Artikel 35, Absatz 1 der DSGVO. Im Folgenden werden dann zwar Fälle beschrieben, die „insbesondere“ (also nicht ausschließlich) betroffen sind, zum Beispiel die „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“. Für viele Unternehmen geht daraus aber nicht eindeutig hervor, ob sie nun von der Pflicht betroffen sind oder nicht. Um dies weiter zu präzisieren, sieht Artikel 35, Absatz 4 vor, dass die Aufsichtsbehörde „eine Liste der Verarbeitungsvorgänge“ erstellt, „für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist“. Fast jedes Bundesland erstellte und veröffentlichte in der Folge eine eigene Liste, was für reichlich neue Verwirrung sorgte.

Einheitliche „Muss-Liste“ veröffentlicht

Nun hat die Datenschutzkonferenz (DSK) sich dankenswerterweise darauf verständigt, eine einheitliche Liste zu erstellen, die inzwischen auch veröffentlicht wurde. Eingesehen werden kann die Liste unter anderem hier. Sie ist tabellarisch aufgebaut und enthält 16 Verarbeitungstätigkeiten, für die eine Folgeabschätzung in jedem Fall durchzuführen ist. Dies ist zumindest eine weitere Präzisierung, auch wenn trotzdem nicht für jedes Unternehmen sofort und zweifelsfrei ersichtlich wird, ob seine Datenverarbeitung in das Raster fällt oder nicht.

Wie bereits in früheren Blog-Artikeln beschrieben, kann bei kleineren Unternehmen auch die Frage, ob ein Datenschutzbeauftragter bestellt werden muss, davon abhängen, ob eine Datenschutzfolgeabschätzung zwingend vorgeschrieben ist. Es ist daher dringend anzuraten, intensiv abzugleichen, ob dies für das eigene Unternehmen der Fall ist – zumal die ersten Kontrollen der DSGVO-Umsetzung bereits angelaufen sind.

(Foto: mixmagic/shutterstock)