Bernd Schütze
Aufsichtsbehörden veröffentlichten Positivlisten zur Datenschutz-Folgenabschätzung
Die BfDI wie auch 9 Bundesländer veröffentlichten pünktlich zum Wirkeintritt des DS-GVO die Positivlisten bzgl. Art. 35 DS-GVO, d.h. sie benannten in der Liste die Verfahren, bei denen zwingend aus Sicht der jeweiligen Aufsichtsbehörde eine Datenschutz-Folgenabschätzung (DSFA) erfolgen muss:
- Bund/BfDI
https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/ListeVerarbeitungsvorgaenge.html bzw. pdf-Datei für den öffentlicher und nicht öffentlicher - Baden-Württemberg
https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/
bzw. pdf-Datei unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorgängen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf - Berlin
https://www.datenschutz-berlin.de/wirtschaft-und-verwaltung/datenschutz-folgenabschaetzung - Brandenburg
pdf-Datei für den öffentlicher und nicht-öffentlicher Bereich sowie für den öffentlichen Bereich nach dem Stand: 21.06.209 - Bremen
https://www.datenschutz.bremen.de/sixcms/media.php/13/DSFA%20Muss-Liste%20LfDI%20HB%2025.pdf - Hamburg
https://datenschutz-hamburg.de/dsgvo-information/art-35-mussliste/
bzw. pdf-Datei öffentlicher Bereich unter https://datenschutz-hamburg.de/assets/pdf/Liste%20Art%2035-4%20DSGVO%20HmbBfDI-öffentlicher%20Bereich_v1.0.pdf
pdf-Datei nicht-öffentlicher Bereich unter https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich-HmbBfDI%20Version%201.0%20(Entwurf).pdf - Hessen
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/HBDI_Verarbeitungsvorg%C3%A4nge%20-Muss-Liste%20Berlin%20%28002%29.pdf - Mecklenburg-Vorpommern
https://www.datenschutz-mv.de/static/DS/Dateien/DS-GVO/Hilfsmittel%20zur%20Umsetzung/Liste%20von%20Verarbeitungsvorg%C3%A4ngen%20nach%20Art.%2035%20Abs.%204%20DS-GVO/MV_DSFA_Muss-Liste.pdf - Niedersachsen
https://lfd.niedersachsen.de/startseite/datenschutzrecht/ds_gvo/liste_von_verarbeitungsvorgangen_nach_art_35_abs_4_ds_gvo/muss-listen-zur-datenschutz-folgenabschatzung-179663.html bzw. pdf-Datei unter https://www.lfd.niedersachsen.de/download/131098/Liste_von_Verarbeitungsvorgaengen_nach_Art._35_Abs._4_DS-GVO.pdf - Nordrhein-Westfalen
https://www.ldi.nrw.de/datenschutz/wirtschaft/datenschutz-folgenabschaetzung
bzw. pdf-Datei nicht-öffentlicher Bereich unter https://www.ldi.nrw.de/system/files/media/document/file/dsk_dsfa_muss-liste_version_1_1_deutsch_4.pdf
pdf-Datei öffentlicher Bereich unter https://www.ldi.nrw.de/system/files/media/document/file/liste-art-35-4-nrw-oeb_v2_3.pdf - Rheinland-Pfalz
https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/datenschutz-folgenabschaetzung/
bzw. pdf-Datei öffentlicher Bereich unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf
pdf-Datei nicht-öffentlicher Bereich unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_NOE.pdf - Saarland
https://datenschutz.saarland.de/themen/datenschutz-folgenabschaetzung/
bzw. pdf-Datei unter https://datenschutz.saarland.de/fileadmin/datenschutz/ds-gvo/ds-folgenabschaetzung/Muss-Liste_SL.pdf - Sachsen
https://www.saechsdsb.de/liste-verarbeitungsvorgaenge-dsfa - Sachsen-Anhalt
https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/liste-von-verarbeitungstaetigkeiten-mit-erforderlicher-datenschutz-folgenabschaetzung/ - Schleswig-Holstein
https://www.datenschutzzentrum.de/dsgvo/#dsfa
bzw. pdf-Datei unter https://datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20180525_LfD-SH_DSFA_Muss-Liste_V1.0.pdf - Thüringen
https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/dsfa_muss-liste_04_07_18.pdf
Leider sind die Anforderungen zwischen den Aufsichtsbehörden nicht abgestimmt, d.h. es gibt keine einheitliche Liste bzgl. der Erfordernis einer Datenschutz-Folgenabschätzung in Deutschland. Eine vergleichende Übersicht ist unter http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa_liste_aufsichtsbehoerden.php. Man wird sich zu Recht die Frage stellen, wie es zu einer einheitlichen Auslegung der DS-GVO in Europa kommen soll, wenn nicht einmal die deutschen Aufsichtsbehörden eine Abstimmung schaffen.Autor: Bernd Schütze
(aktualisierter Stand: 04.08.2022)
4 Kommentare
In Art. 51 DSGVO heißt es: „Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. […]“
Beim Lesen der Listen drängt sich mir der Eindruck auf, dass unsere Landesbehörden das so interpretieren, dass in den Publikationen ein einheitliches Layout und gleiche Farben für den Hintergrund von Tabellenüberschriften genutzt werden sollten.
Jan Albrecht sollte denen vielleicht mal erklären, dass mit „einheitliche Anwendung“ die Inhalte gemeint sind, nicht die bunten Farben! 🤦♂️
Karsten
– Personenschützer –
Soll ich das jetzt als Fleissaufgabe jeder einzelnen Behörden verstehen – 16 Listen ? An Personal scheint es nicht zu mangeln?
Und dann gibt jede Behörde noch den wichtigen Hinweis:
Wird die Verarbeitungstätigkeit eines Verantwortlichen in der vorliegenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre.
Wir erklimmen langsam den Gipfel der Bürokratie.
Walter
-Datenschützer-
Sachsen veröffentlichte die Liste am Freitag, zu finden unter https://www.saechsdsb.de/liste-verarbeitungsvorgaenge-dsfa
Sachsen-Anhalt veröffentlichte ebenfalls am Freitag, URL ist https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/liste-von-verarbeitungstaetigkeiten-mit-erforderlicher-datenschutz-folgenabschaetzung/
Damit liegen jetzt die Listen aller Bundesländer vor. Eine vergleichende Übersicht findet sich unter http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa_liste_aufsichtsbehoerden.php
Der Grundgedanke von Risiko und Folgenabschätzung im Gesetz ist richtig. Hohes Risiko – hohe Vorsorge; kleines Risiko – kleine Vorsorge. Es scheint mir so, als machen wir aus einem vernünftigen Grundgedanken ein bürokratisches Monster – und das hat das Gesetz nicht gewollt – das steht in den Erwägungsgründen nicht drin !