Bernd Schütze
Supervisory authorities published positive lists on data protection impact assessment
Die BfDI and 9 Federal states published the positive lists as per Art. 35 GDPR on schedule for the GDPR entering into effect, i.e. the list includes the processes for which data protection impact assessments (DSFA) will be mandatory according to the specific supervisory authority:
- Bund/BfDI
https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/ListeVerarbeitungsvorgaenge.html
bzw. pdf-Datei unter https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_Verarbeitungsvorgaenge.pdf?__blob=publicationFile&v=2 - Baden-Württemberg
https://www.baden-wuerttemberg.datenschutz.de/ds-gvo/
bzw. pdf-Datei unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorgängen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf - Berlin
https://www.datenschutz-berlin.de/pdf/datenschutzfolgeabschaetzung/dsfolge-nicht-oeffentlich.pdf - Brandenburg
http://www.lda.brandenburg.de/sixcms/detail.php/bb1.c.596771.de
bzw. pdf-Datei für den öffentlicher und nicht-öffentlicher Bereich http://www.lda.brandenburg.de/media_fast/4055/DSFA_Muss-Liste_allgemein_180525.pdf
pdf-Datei öffentlicher Bereich http://www.lda.brandenburg.de/media_fast/4055/DSFA_Muss-Liste_oeffentlich_180525.pdf - Bremen
https://www.datenschutz.bremen.de/sixcms/media.php/13/DSFA%20Muss-Liste%20LfDI%20HB%2025.pdf - Hamburg
https://datenschutz-hamburg.de/dsgvo-information/art-35-mussliste/
bzw. pdf-Datei öffentlicher Bereich unter https://datenschutz-hamburg.de/assets/pdf/Liste%20Art%2035-4%20DSGVO%20HmbBfDI-öffentlicher%20Bereich_v1.0.pdf
pdf-Datei nicht-öffentlicher Bereich unter https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich-HmbBfDI%20Version%201.0%20(Entwurf).pdf - Hessen
https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/HBDI_Verarbeitungsvorg%C3%A4nge%20-Muss-Liste%20Berlin%20%28002%29.pdf - Mecklenburg-Vorpommern
https://www.datenschutz-mv.de/static/DS/Dateien/DS-GVO/Hilfsmittel%20zur%20Umsetzung/Liste%20von%20Verarbeitungsvorg%C3%A4ngen%20nach%20Art.%2035%20Abs.%204%20DS-GVO/MV_DSFA_Muss-Liste.pdf - Niedersachsen
https://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/liste_von_verarbeitungsvorgaengen_nach_art_35_abs_4_dsgvo/liste-von-verarbeitungsvorgaengen-nach-art-35-abs-4-ds-gvo-164661.html
bzw. pdf-Datei unter https://www.lfd.niedersachsen.de/download/131098/Liste_von_Verarbeitungsvorgaengen_nach_Art._35_Abs._4_DS-GVO.pdf - Nordrhein-Westfalen
https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Datenschutz-Folgenabschaetzung.html
bzw. pdf-Datei nicht-öffentlicher Bereich unter https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Liste-Art-35-4-NRW-NOeB_v1_.pdf
pdf-Datei öffentlicher Bereich unter https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/Liste-Art-35-4-NRW-OeB_v1.pdf - Rheinland-Pfalz
https://www.datenschutz.rlp.de/de/themenfelder-themen/datenschutz-grundverordung/datenschutz-folgenabschaetzung/
bzw. pdf-Datei öffentlicher Bereich unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf
pdf-Datei nicht-öffentlicher Bereich unter https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_NOE.pdf - Saarland
https://datenschutz.saarland.de/themen/datenschutz-folgenabschaetzung/
bzw. pdf-Datei unter https://datenschutz.saarland.de/fileadmin/datenschutz/ds-gvo/ds-folgenabschaetzung/Muss-Liste_SL.pdf - Sachsen
https://www.saechsdsb.de/liste-verarbeitungsvorgaenge-dsfa - Sachsen-Anhalt
https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/liste-von-verarbeitungstaetigkeiten-mit-erforderlicher-datenschutz-folgenabschaetzung/ - Schleswig-Holstein
https://www.datenschutzzentrum.de/dsgvo/#dsfa
bzw. pdf-Datei unter https://datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20180525_LfD-SH_DSFA_Muss-Liste_V1.0.pdf - Thüringen
https://www.tlfdi.de/tlfdi/europa/europaeischedsgvo/index.aspx
bzw. pdf-Datei unter https://www.tlfdi.de/mam/tlfdi/datenschutz/liste_der_verarbeitungstatigkeiten.pdf
The requirements are unfortunately not coordinated between supervisory authorities, i.e. no uniform list of requirements for data protection impact assessments exist in Germany. Please visit http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa_liste_aufsichtsbehoerden.php for a comparative overview. We may justifiably ask how a uniform interpretation of the GDPR will be achieved.
Author: Bernd Schütze
4 Comments
In Art. 51 DSGVO heißt es: “Jede Aufsichtsbehörde leistet einen Beitrag zur einheitlichen Anwendung dieser Verordnung in der gesamten Union. […]”
Beim Lesen der Listen drängt sich mir der Eindruck auf, dass unsere Landesbehörden das so interpretieren, dass in den Publikationen ein einheitliches Layout und gleiche Farben für den Hintergrund von Tabellenüberschriften genutzt werden sollten.
Jan Albrecht sollte denen vielleicht mal erklären, dass mit “einheitliche Anwendung” die Inhalte gemeint sind, nicht die bunten Farben! 🤦♂️
Karsten
– Personenschützer –
Soll ich das jetzt als Fleissaufgabe jeder einzelnen Behörden verstehen – 16 Listen ? An Personal scheint es nicht zu mangeln?
Und dann gibt jede Behörde noch den wichtigen Hinweis:
Wird die Verarbeitungstätigkeit eines Verantwortlichen in der vorliegenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre.
Wir erklimmen langsam den Gipfel der Bürokratie.
Walter
-Datenschützer-
Sachsen veröffentlichte die Liste am Freitag, zu finden unter https://www.saechsdsb.de/liste-verarbeitungsvorgaenge-dsfa
Sachsen-Anhalt veröffentlichte ebenfalls am Freitag, URL ist https://datenschutz.sachsen-anhalt.de/informationen/internationales/datenschutz-grundverordnung/liste-von-verarbeitungstaetigkeiten-mit-erforderlicher-datenschutz-folgenabschaetzung/
Damit liegen jetzt die Listen aller Bundesländer vor. Eine vergleichende Übersicht findet sich unter http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa_liste_aufsichtsbehoerden.php
Der Grundgedanke von Risiko und Folgenabschätzung im Gesetz ist richtig. Hohes Risiko – hohe Vorsorge; kleines Risiko – kleine Vorsorge. Es scheint mir so, als machen wir aus einem vernünftigen Grundgedanken ein bürokratisches Monster – und das hat das Gesetz nicht gewollt – das steht in den Erwägungsgründen nicht drin !