Bernd Schütze

Katalog zur Datenschutz-Folgenabschätzung veröffentlicht

Aufsichtsbehörden veröffentlichen beim EDSA eingereichten Katalog zur Datenschutz-Folgenabschätzung.

Nachdem nun auch Hessen im Juni seinen eigenen Katalog zur Datenschutz-Folgenabschätzung veröffentlichte, bleibt die Frage bestehen, ob die von den Aufsichtsbehörden veröffentlichten Listen für den Verantwortlichen zwingend anzuwenden sind. Denn Art. 35 Abs. 4 S. 2 DS-GVO verlangt, dass jede dieser Listen dem Europäischen Datenschutzausschuss (EDSA) vorgelegt werden (müssen), was bisher wohl noch nicht geschah.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen veröffentlichte auf Ihrer Homepage nun eine in deutscher und englischer Sprache vorliegende Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den nicht-öffentlichen Bereich, welche dem EDSA vorgelegte wurde. Da die Liste das Logo der Datenschutzkonferenz (DSK) trägt, kann man – auch wenn dies auf der Webseite nicht explizit geschrieben wurde – davon ausgehen, dass dies eine von allen deutschen Aufsichtsbehörden abgestimmte Liste von Kriterien ist; insbesondere unter Beachtung der Tatsache, dass die Landesbeauftragte von NRW derzeit den Vorsitz der DSK führt.

Auch bei dieser Liste bleibt die Kritik, dass die Aufsichtsbehörden nicht, wie von der DS-GVO gefordert, eine Liste von Verarbeitungsvorgängen erstellten, sondern Kriterien, mit denen der Verantwortliche selbst feststellen muss, ob seine Verarbeitung einer Datenschutz-Folgenabschätzung bedarf oder nicht. Die Verantwortung, die laut DS-GVO eigentlich die Aufsichtsbehörden übernehmen müssen, wird also vollständig auf den Verantwortlichen übertragen.

Auch beim LDI NRW ist der Hinweis zu finden, dass die Liste verbindlich aber nicht abschließend ist. Ob sich dieser Hinweis nur auf die Liste von Verarbeitungsvorgängen für den öffentlichen Bereich bezieht oder auch auf die dem EDSA übermittelte Liste, sei dahingestellt. Letztendlich muss ein Verantwortlicher aus dem nicht-öffentlichen Bereich neben dieser Liste auch berücksichtigen, dass er unter Umständen noch mit der von der jeweils für ihn zuständigen Aufsichtsbehörde veröffentlichte Liste konfrontiert wird.

Eine Übersicht, welche Anforderung in welcher Liste von welcher Aufsichtsbehörde steht, findet man unter http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa_liste_aufsichtsbehoerden.php.

Autor:
Bernd Schütze

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.