klar

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Entwurf zur Vorlage beim Europäischen Datenschutzausschuss nach Art. 35 Abs. 6 DSGVO



Entwurf zur Vorlage beim Europäischen Datenschutzausschuss nach Art. 35 Abs. 6 DSGVO

Ab dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in allen Mitgliedstaaten der Europäischen Union und somit auch in Deutschland als unmittelbar geltendes Recht anzuwenden. Zu den Pflichten des Verantwortlichen gehört es, bei Formen der Verarbeitung, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchzuführen.

Die Durchführung der Datenschutz-Folgenabschätzung dient dazu, in einem systematischen Vorgehen geplante Verarbeitungsvorgänge zu beschreiben, ihre Notwendigkeit und Verhältnismäßigkeit zu beurteilen, die Risiken für die Rechte und Freiheiten der betroffenen Personen zu bewerten und zur Bewältigung dieser Risiken vorab Abhilfemaßnahmen festzulegen.

Hilfestellungen für die Durchführung einer DSFA

Die Konferenz der Datenschutzbehörden des Bundes und der Länder hat im Rahmen ihrer Kurzpapiere zur Umsetzung der DSGVO auch die Kurzpapiere Nr. 5 zur Datenschutz-Folgenabschätzung und Nr. 18 zum Risikobegriff veröffentlicht. Die beiden Kurzpapiere sind neben weiteren Kurzpapieren unter https://www.lfd.niedersachsen.de/startseite/dsgvo/anwendung_dsgvo_kurzpapiere abrufbar. Auch die Art.-29-Gruppe, ein unabhängiges europäisches Beratungsgremium für den Schutz personenbezogener Daten und die Privatsphäre, hat eine Leitlinie zur Datenschutz-Folgenabschätzung und dem Risikobegriff erstellt. Sie kann unter https://www.lfd.niedersachsen.de/startseite/dsgvo/leitlinien_art_29gruppe/ abgerufen werden.

Grundlage für die vorliegende Liste

Nach Art. 35 Abs. 4 DSGVO erstellt die Aufsichtsbehörde eine Liste von Verarbeitungsvorgängen, für die aufgrund eines voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen eine Datenschutz-Folgenabschätzung durchzuführen ist. Die Landesbeauftragte für den Datenschutz Niedersachsen macht von dieser Norm mit der vorliegenden Liste im Rahmen ihrer Zuständigkeit Gebrauch.

Die Einträge beruhen auf der Anwendung der oben genannten Leitlinie der Art.-29-Gruppe. Der Leitlinie sind folgende maßgebliche Kriterien zur Einordnung des Risikos von Verarbeitungsvorgängen zu entnehmen (S. 10 ff.):

  1. Vertrauliche oder höchst persönliche Daten

    ("Sensitive data or data of a highly personal nature")

  2. Daten zu schutzbedürftigen Betroffenen

    ("Data concerning vulnerable data subjects")

  3. Datenverarbeitung in großem Umfang

    ("Data processed on a large scale")

  4. Systematische Überwachung

    ("Systematic monitoring")

  5. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen

    ("Innovative use or applying new technological or organisational solutions")

  6. Bewerten oder Einstufen (Scoring)

    ("Evaluation or scoring")

  7. Abgleichen oder Zusammenführen von Datensätzen

    ("Matching or combining datasets")

  8. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung

    ("Automated-decision making with legal or similar significant effect")

  9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert

    ("When the processing in itself prevents data subjects from exercising a right or using a service or a contract")

Sind zwei dieser Kriterien erfüllt, ist ausweislich der Leitlinie in den meisten Fällen eine Datenschutz-Folgenabschätzung durchzuführen. Je mehr Kriterien erfüllt sind, desto wahrscheinlicher ist es, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Es ist aber auch möglich, dass ein hohes Risiko gegeben ist, wenn nur ein Kriterium erfüllt ist.

Umgang mit der vorliegenden Liste

Ist ein Verarbeitungsvorgang in der Liste aufgeführt, so ist für diesen Verarbeitungsvorgang eine Datenschutz-Folgenabschätzung zu erstellen. Die Liste ist aber nicht abschließend. Wenn ein Verarbeitungsvorgang nicht auf der Liste aufgeführt ist, kann daraus nicht geschlossen werden, dass für diesen Verarbeitungsvorgang keine Datenschutz-Folgenabschätzung durchzuführen ist. Es ist dann zu prüfen, ob einer der Fälle aus Art. 35 Abs. 3 DSGVO vorliegt oder ob ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vorliegt, obwohl der Verarbeitungsvorgang nicht auf der Liste steht und kein Fall aus Art. 35 Abs. 3 DSGVO vorliegt.

Für Verantwortliche, die prüfen, ob für einen Verarbeitungsvorgang eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich damit folgende Prüfungsreihenfolge:

  1. Prüfung, ob der Verarbeitungsvorgang auf der vorliegenden Liste genannt ist.

  2. Wenn der Verarbeitungsvorgang auf der Liste nicht genannt ist, ist zu prüfen, ob der Verarbeitungsvorgang einen Fall nach Art. 35 Abs. 3 DSGVO darstellt.

  3. Handelt es sich bei dem Verarbeitungsvorgang auch nicht um einen Fall des Art. 35 Abs. 3 DSGVO, dann ist zu prüfen, ob dennoch ein hohes Risiko nach Art. 35 Abs. 1 DSGVO vorliegt. Ist dies nicht der Fall, muss eine Datenschutz-Folgenabschätzung nicht durchgeführt werden.

Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn eine der dort genannten Bedingungen vorliegt. Mit der vorliegenden Liste wird keine Aussage darüber getroffen, ob für einen Verarbeitungsvorgang eine Rechtsgrundlage vorliegt oder nicht. Ein Eintrag auf der Liste bedeutet daher weder, dass eine Verarbeitung verboten ist, noch dass ein Verarbeitungsvorgang allein auf der Grundlage einer Datenschutz-Folgenabschätzung durchgeführt werden kann.

Die Liste macht es an mehreren Stellen zur Voraussetzung einer hochriskanten Verarbeitung, dass es sich um eine „umfangreiche Verarbeitung" handelt. Die DSGVO definiert den Begriff nicht, sondern gibt nur in Erwägungsgrund 91 einige Anhaltspunkte. Es ist derzeit nicht möglich, hier konkrete Zahlen festzulegen. Die Art.-29-Gruppe hat jedoch in der oben genannten Leitlinie und in ihrer Leitlinie in Bezug auf Datenschutzbeauftragte Stellung dazu genommen, welche Aspekte bei der Bestimmung einer „umfangreichen Verarbeitung" zu berücksichtigen sind und nennt Beispiele, die den Verantwortlichen bei der Prüfung helfen.

In der ersten Spalte erfolgt zur einfachen Bezugnahme eine Nummerierung. In der zweiten Spalte findet sich die maßgebliche Beschreibung des Verarbeitungsvorgangs. Fällt ein Verarbeitungsvorgang unter diese Beschreibung, dann ist für ihn eine Datenschutz-Folgenabschätzung durchzuführen. Lässt sich ein Verarbeitungsvorgang nicht unter die zweite Spalte subsumieren, ist nach dem oben dargestellten Schema weiter zu prüfen. Die dritte und die vierte Spalte enthalten zur Veranschaulichung typische Einsatzfelder und Beispiele für Verarbeitungsvorgänge, die unter die zweite Spalte zu subsumieren wären. In der Liste für den öffentlichen Bereich konnte auf die dritte und vierte Spalte verzichtet werden.

Führt ein Verantwortlicher hochriskante Verarbeitungsvorgänge aus, ohne vorab eine Datenschutz-Folgenabschätzung durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DSGVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DSGVO einschließlich der Verhängung von Geldbußen gemäß Art. 83 Abs. 4 DSGVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DSGVO offen.


Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon 0511 120-4500
Fax 0511 120-4599
E-Mail an Ansprechpartner schreiben
Buchstaben Datenschutz-DSGVO  
Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

 Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

zum Seitenanfang
zur mobilen Ansicht wechseln