Bernd Schütze

EDPB veröffentlicht Stellungnahmen zu den DSFA-Listen der EU-Länder

Entsprechend Art. 35 Abs. 4 S. 2 DS-GVO müssen die europäischen Aufsichtsbehörden ihre Listen der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist, dem in Art. 68 DS-GVO genannten Europäischen Datenschutzausschuss (engl. European Data Protection Board, EDPB) übermitteln. Die Datenschutzkonferenz (DSK) übermittelte dementsprechend ihre DSFA-Liste für den nicht-öffentlichen Bereich an den Datenschutz-Ausschuss. Gemäß Art. 64 Abs. 1 lit a DS-GVO muss der Datenschutz-Ausschuss eine Stellungnahme zu den jeweiligen DSFA-Listen abgeben.

EDPB veröffentlichte am 25. September 2018 die Stellungnahmen zu den DPIA-Listen der europäischen Länder. Die Stellungnahmen sind nur auf Englisch verfügbar. Der Link zu den Dokumenten ist https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_en.

Bzgl. der deutschen Liste vermisst der Ausschuss zwei Punkte:

  • Das EDPD fordert die deutschen Aufsichtsbehörden auf, eine PIA bzgl. der Verarbeitung biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person einzufordern, wenn ein weiteres Kriterium bzgl. aus dem WP248 rev.01 der Art-29-Gruppe (siehe EDPB-Homepage unter GDPR: Guidelines, Recommendations, Best Practices ) vorliegt
  • Das EDPD fordert die deutschen Aufsichtsbehörden weiterhin auf, eine PIA bzgl. der Verarbeitung von genetischen Daten einzufordern, wenn ein weiteres Kriterium bzgl. aus dem WP248 rev.01 der Art-29-Gruppe vorliegt. Interessant ist dabei vielleicht auch, dass der EDPD der Ansicht ist, dass die Verarbeitung genetischer Daten allein nicht unbedingt ein hohes Risiko darstellen muss.

Bei anderen Punkten der deutschen Listen fehlt dem Ausschuss die Beachtung der Vorgaben des WP248 rev.01:

  • Momentan fordert die deutsche Liste eine DSFA bei der Verarbeitung von Standortdaten. Der EDPD fordert die deutschen Aufsichtsbehörden auf, ihre Liste entsprechend den Vorgaben des WP 248 rev. 01 zu ändern, dass eine DSFA nur dann erforderlich ist, wenn eine Verarbeitung von Standortdaten in Verbindung mit mindestens einem anderen in dem WP genannten Kriterium durchgeführt wird.
  • Weiterhin ist der Ausschuss ist der Ansicht, dass eine DSFA bei der Verarbeitung von über Dritte erhoben Daten nur dann erforderlich ist, wenn mindestens ein weiteres im WP genanntes Kriterium erfüllt ist.
  • Ferner fordert der Ausschuss die deutschen Aufsichtsbehörden auf, die Forderung nach einer DSFA bei einer Weiterverarbeitung (siehe Punkte 4 und 8 der deutschen DSFA-Liste) personenbezogener Daten zu streichen.

Im Großen und Ganzen ist die deutsche Liste aus Sicht des Datenschutz-Ausschusses wohl mit den Anforderungen der DS-GVO vereinbar, aber zwei Anforderungen werden wohl noch ergänzend genannt, andere derzeit vorhandene Anforderungen entsprechend den Vorgaben des WP 248 angepasst werden müssen.

Über de Empfehlungen des BayLDA, wie eine DSFA durchgeführt werden kann, berichteten wir schon am im Blogeintrag „Neues zur Datenschutz-Folgenabschätzung“ vom 27. July 2018.

Autor: Dr. Bernd Schütze

2 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.