Aufsichtsbehörden veröffentlichten Positivlisten zur Datenschutz-Folgenabschätzung
Die BfDI wie auch 9 Bundesländer veröffentlichten pünktlich zum Wirkeintritt des DS-GVO die Positivlisten bzgl. Art. 35 DS-GVO, d.h. sie benannten in der Liste die Verfahren, bei denen zwingend aus Sicht der jeweiligen Aufsichtsbehörde eine Datenschutz-Folgenabschätzung (DSFA) erfolgen muss:
- Bund/BfDI
https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/ListeVerarbeitungsvorgaenge.html bzw. pdf-Datei für den öffentlicher und nicht öffentlicher - Baden-Württemberg
https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/
bzw. pdf-Datei unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorgängen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf - Berlin
https://www.datenschutz-berlin.de/wirtschaft-und-verwaltung/datenschutz-folgenabschaetzung - Brandenburg
pdf-Datei für den öffentlicher und nicht-öffentlicher Bereich sowie für den öffentlichen Bereich nach dem Stand: 21.06.209 - Niedersachsen
https://lfd.niedersachsen.de/startseite/datenschutzrecht/ds_gvo/liste_von_verarbeitungsvorgangen_nach_art_35_abs_4_ds_gvo/muss-listen-zur-datenschutz-folgenabschatzung-179663.html bzw. pdf-Datei unter https://www.lfd.niedersachsen.de/download/131098/Liste_von_Verarbeitungsvorgaengen_nach_Art._35_Abs._4_DS-GVO.pdf - Nordrhein-Westfalen
https://www.ldi.nrw.de/datenschutz/wirtschaft/datenschutz-folgenabschaetzung
bzw. pdf-Datei nicht-öffentlicher Bereich unter https://www.ldi.nrw.de/system/files/media/document/file/dsk_dsfa_muss-liste_version_1_1_deutsch_4.pdf
pdf-Datei öffentlicher Bereich unter https://www.ldi.nrw.de/system/files/media/document/file/liste-art-35-4-nrw-oeb_v2_3.pdf - Saarland
https://datenschutz.saarland.de/themen/datenschutz-folgenabschaetzung/
bzw. pdf-Datei unter https://datenschutz.saarland.de/fileadmin/datenschutz/ds-gvo/ds-folgenabschaetzung/Muss-Liste_SL.pdf - Sachsen
https://www.saechsdsb.de/liste-verarbeitungsvorgaenge-dsfa - Sachsen-Anhalt
https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/liste-von-verarbeitungstaetigkeiten-mit-erforderlicher-datenschutz-folgenabschaetzung/ - Schleswig-Holstein
https://www.datenschutzzentrum.de/dsgvo/#dsfa
bzw. pdf-Datei unter https://datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20180525_LfD-SH_DSFA_Muss-Liste_V1.0.pdf - Thüringen
https://www.tlfdi.de/fileadmin/tlfdi/datenschutz/dsfa_muss-liste_04_07_18.pdf
Leider sind die Anforderungen zwischen den Aufsichtsbehörden nicht abgestimmt, d.h. es gibt keine einheitliche Liste bzgl. der Erfordernis einer Datenschutz-Folgenabschätzung in Deutschland. Eine vergleichende Übersicht ist unter http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa_liste_aufsichtsbehoerden.php. Man wird sich zu Recht die Frage stellen, wie es zu einer einheitlichen Auslegung der DS-GVO in Europa kommen soll, wenn nicht einmal die deutschen Aufsichtsbehörden eine Abstimmung schaffen.Autor: Bernd Schütze
(aktualisierter Stand: 04.08.2022)
