Erforderlichkeit einer Datenschutz-Folgenabschätzung
Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich aus einer Abschätzung der Risiken der Verarbeitungsvorgänge („Schwellenwertanalyse“). Wird festgestellt, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, dann ist eine Datenschutz-Folgenabschätzung nicht zwingend erforderlich. Die Entscheidung über die Durchführung oder Nichtdurchführung der Datenschutz-Folgenabschätzung ist mit Angabe der maßgeblichen Gründe für den konkreten Verarbeitungsvorgang schriftlich zu dokumentieren.
Artikel 35 Absatz 3 DSGVO benennt einige Faktoren, die wahrscheinlich zu einem hohen Risiko im Sinne des Artikels 35 Absatz 1 DSGVO führen. Diese sind
- die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen mittels automatisierter Verarbeitung (einschließlich Profiling), die als Grundlage für Entscheidungen dient, Rechtswirkungen gegenüber natürlichen Personen entfaltet oder diese in ähnlich erheblicher Weise beeinträchtigen,
- die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 DSGVO (zum Beispiel Gesundheitsdaten, genetische oder biometrische Daten, Daten zu politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen oder Gewerkschaftszugehörigkeiten) oder von personenbezogenen Daten über Verurteilungen und Straftaten,
- die systematische umfangreiche Überwachung öffentlich zugänglicher Räume.
Liegt bei einer konkreten Verarbeitungstätigkeit keiner dieser Faktoren vor, so entbindet dies noch nicht von der Durchführung einer Datenschutz-Folgenabschätzung. Vielmehr ist dann die oben bereits angesprochene „Schwellenwertanalyse“ durchzuführen, in deren Ergebnis ebenfalls das Erfordernis einer Datenschutz-Folgenabschätzung stehen kann.
Nach Artikel 35 Absatz 4 DSGVO veröffentlicht jede Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Der Inhalt dieser Liste ist zwischen den deutschen Datenschutzaufsichtsbehörden abgestimmt und wird bei Bedarf fortgeschrieben.
Schließlich ist Artikel 35 Absatz 10 DSGVO zu beachten. Danach ist grundsätzlich dann keine Datenschutz-Folgenabschätzung durchzuführen, wenn die Verarbeitung personenbezogener Daten auf einer Rechtsvorschrift, die ein im öffentlichen Interesse liegendes Ziel verfolgt (Rechtsgrundlage nach Artikel 6 Absatz 1 Buchstabe c oder e DSGVO), beruht und im Entstehungsprozess der Vorschrift eine Datenschutz-Folgenabschätzung vorgenommen wurde.
Weitere Informationen
- Verarbeitungsvorgänge für die eine Datenschutz-Folgenabschätzung durchzuführen ist (PDF-Datei auf der Website der Datenschutzkonferenz)
- Begleittext zur Liste (*.pdf, 0,30 MB)