EDPB veröffentlicht Stellungnahmen zu den DSFA-Listen der EU-Länder

Entsprechend Art. 35 Abs. 4 S. 2 DS-GVO müssen die europäischen Aufsichtsbehörden ihre Listen der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, dem in Art. 68 DS-GVO genannten Europäischen Datenschutzausschuss (engl. European Data Protection Board, EDPB) übermitteln. Die Datenschutzkonferenz (DSK) übermittelte dementsprechend ihre DSFA-Liste für den nicht-öffentlichen Bereich an den Datenschutz-Ausschuss. Gemäß Art. 64 Abs. 1 lit a DS-GVO muss der Datenschutz-Ausschuss eine Stellungnahme zu den jeweiligen DSFA-Listen abgeben.

EDPB veröffentlichte am 25. September 2018 die Stellungnahmen zu den DPIA-Listen der europäischen Länder. Die Stellungnahmen sind nur auf Englisch verfügbar. Der Link zu den Dokumenten ist https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_en.

Bzgl. der deutschen Liste vermisst der Ausschuss zwei Punkte:

Das EDPD fordert die deutschen Aufsichtsbehörden auf, eine PIA bzgl. der Verarbeitung biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person einzufordern, wenn ein weiteres Kriterium bzgl. aus dem WP248 rev.01 der Art-29-Gruppe (siehe EDPB-Homepage unter GDPR: Guidelines, Recommendations, Best Practices ) vorliegt
Das EDPD fordert die deutschen Aufsichtsbehörden weiterhin auf, eine PIA bzgl. der Verarbeitung von genetischen Daten einzufordern, wenn ein weiteres Kriterium bzgl. aus dem WP248 rev.01 der Art-29-Gruppe vorliegt. Interessant ist dabei vielleicht auch, dass der EDPD der Ansicht ist, dass die Verarbeitung genetischer Daten allein nicht unbedingt ein hohes Risiko darstellen muss.

Bei anderen Punkten der deutschen Listen fehlt dem Ausschuss die Beachtung der Vorgaben des WP248 rev.01:

Momentan fordert die deutsche Liste eine DSFA bei der Verarbeitung von Standortdaten. Der EDPD fordert die deutschen Aufsichtsbehörden auf, ihre Liste entsprechend den Vorgaben des WP 248 rev. 01 zu ändern, dass eine DSFA nur dann erforderlich ist, wenn eine Verarbeitung von Standortdaten in Verbindung mit mindestens einem anderen in dem WP genannten Kriterium durchgeführt wird.
Weiterhin ist der Ausschuss ist der Ansicht, dass eine DSFA bei der Verarbeitung von über Dritte erhoben Daten nur dann erforderlich ist, wenn mindestens ein weiteres im WP genanntes Kriterium erfüllt ist.
Ferner fordert der Ausschuss die deutschen Aufsichtsbehörden auf, die Forderung nach einer DSFA bei einer Weiterverarbeitung (siehe Punkte 4 und 8 der deutschen DSFA-Liste) personenbezogener Daten zu streichen.

Im Großen und Ganzen ist die deutsche Liste aus Sicht des Datenschutz-Ausschusses wohl mit den Anforderungen der DS-GVO vereinbar, aber zwei Anforderungen werden wohl noch ergänzend genannt, andere derzeit vorhandene Anforderungen entsprechend den Vorgaben des WP 248 angepasst werden müssen.

Über de Empfehlungen des BayLDA, wie eine DSFA durchgeführt werden kann, berichteten wir schon am im Blogeintrag „Neues zur Datenschutz-Folgenabschätzung“ vom 27. July 2018.

Autor: Dr. Bernd Schütze

4 Kommentare

Achim Weber sagt:

Montag, der 8. Oktober 2018 um 22:53 Uhr

Heißt das Akronym jetzt EDPB oder EDPD? Und was ist
DSGA?

Antworten
- Bernd Schütze sagt:
  
  Mittwoch, der 10. Oktober 2018 um 20:14 Uhr
  
  European Data Protection Board wird mit „EDPB“ abgekürzt, der deutsche Begriff „Europäischer Datenschutzausschuss“ wird beim BfDI mir „EDSA“ abgekürzt (siehe https://www.bfdi.bund.de/DE/Europa_International/Europa/Ueberblick/Europ%C3%A4ischerDatenschutzausschuss.html)
  
  DSGA ist ein Schreibfehler, richtig DSFA. DSFA ist die Abküruzung für „Datenschutz-Folgenabschätzung“; ich korrigierte den Schreibfehler
  
  Antworten
Interessierter sagt:

Samstag, der 3. November 2018 um 15:43 Uhr

Ist mit dem erneuten Beschlussentwurf der DSK vom 17.10.2018 das Kohärenzverfahren nun abgeschlossen oder wird der EDSA nochmals Stellung nehmen?

Antworten
- Bernd Schütze sagt:
  
  Samstag, der 3. November 2018 um 17:50 Uhr
  
  Dies ist eine Frage, welche an die Datenschutz-Aufsichtsbehörden und nicht an den Blog gerichtet werden muss. Aus Sicht der deutschen Aufsichtsbehörden ist mit der Überarbeitung wohl der „Opinion 5/2018 Germany SAs DPIA List“ genügt worden, im Sinne, dass die Bemerkungen des EDPB aufgenommen und in die Liste integriert wurde. Wenn man Version 1.0 und 1.1 miteinander vergleicht, so sieht man ja, dass z.B. der Hinweis bzgl. des Fehlens biometrischer Daten aufgenommen wurde.
  
  Antworten

Webinar – „EU-ACTionism: Digital Governance Act“

Online-Seminar: Künstliche Intelligenz

Treffen der Regionalgruppe Sachsen

Treffen Regionalgruppe Schwäbisch Gmünd

DSGVO-Evaluation 2024

Stellungnahme zum Entwurf eines ersten Gesetzes zur Änderung des Bundesdatenschutzgesetzes

4 Kommentare

Schreibe einen Kommentar Antworten abbrechen

Das könnte Sie auch interessieren

Webinar – „EU-ACTionism: Digital Governance Act“

Online-Seminar: Künstliche Intelligenz

4 Kommentare

Schreibe einen Kommentar Antworten abbrechen

Das könnte Sie auch interessieren

Aufsichtsbehörden veröffentlichten Positivlisten zur Datenschutz-Folgenabschätzung

Umgang mit der Datenschutz-Folgenabschätzung: ein Blick in unsere EU Partnerländer

Wie führe ich eine Datenschutz-Folgenabschätzung (DSFA) durch?