Die ersten deutschen Aufsichtsbehörden haben nun auch Listen mit Verarbeitungsvorgängen vorgelegt, für die Datenschutz-Folgenabschätzungen (DSFA)  durchzuführen sind.

Datenschutz-Folgenabschätzungen sind in Art. 35 DSGVO geregelt. Es besteht eine Verpflichtung Sie durchzuführen, wenn bei bestimmten Verarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Die Folgen für die Rechte und Freiheiten der Betroffenen bei der Verarbeitung sollen dabei abgeschätzt und bewertet werden.

Folgende Aufsichtsbehörden haben eine Blacklist herausgegeben:

• Baden-Württemberg (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/05/Liste-von-Verarbeitungsvorgängen-nach-Art.-35-Abs.-4-DS-GVO-LfDI-BW.pdf)
• Thüringen (https://tlfdi.de/mam/tlfdi/datenschutz/liste_der_verarbeitungstatigkeiten.pdf)
• Schleswig-Holstein (https://tlfdi.de/mam/tlfdi/datenschutz/liste_der_verarbeitungstatigkeiten.pdf)
• Rheinland-Pfalz (https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/DSFA_-_Muss-Liste_RLP_OE.pdf)
• Saarland (https://datenschutz.saarland.de/fileadmin/datenschutz/ds-gvo/ds-folgenabschaetzung/Muss-Liste_SL.pdf)
• Hamburg (https://datenschutz-hamburg.de/assets/pdf/DSFA%20Muss-Liste%20für%20den%20nicht-öffentlicher%20Bereich-HmbBfDI%20Version%201.0%20(Entwurf).pdf )
• Niedersachsen (http://www.lfd.niedersachsen.de/startseite/datenschutzreform/dsgvo/liste_von_verarbeitungsvorgaengen_nach_art_35_abs_4_dsgvo/liste-von-verarbeitungsvorgaengen-nach-art-35-abs-4-ds-gvo-164661.html)
• Berlin (https://www.datenschutz-berlin.de/pdf/datenschutzfolgeabschaetzung/dsfolge-nicht-oeffentlich.pdf)
• Brandenburg (http://www.lda.brandenburg.de/sixcms/detail.php/bb1.c.596771.de)

Im Großen und Ganzen sind die Listen einheitlich und enthalten die gleichen Verarbeitungsvorgänge, für welche eine DSFA durchzuführen ist.

Keine abschließende Aufzählung von Verarbeitungstätigkeiten

Im einleitenden Text zu den Listen wird hervorgehoben, dass diese nicht abschließend sind. Nur weil eine Verarbeitungstätigkeit nicht enthalten ist, heißt dies nicht, dass dafür keine DSFA zu erfolgen hat. Der Verantwortliche hat selbst zu bewerten, ob eine Verarbeitungstätigkeit aufgrund ihres hohen Risikos einer DSFA bedarf. In einer weiteren Liste werden Kriterien genannt, welche dazu führen können, dass eine DSFA durchgeführt werden muss.

Außerdem wird darauf hingewiesen, dass die Blacklists regelmäßig aktualisiert werden können, je nachdem wie sich der Stand der Technik weiterentwickelt.

Beispiele für Verarbeitungen, für die eine DSFA durchgeführt werden muss

• Betrieb eines Insolvenzverzeichnisses
• Scoring durch Auskunfteien, Banken oder Versicherungen
• Betrieb von Bewertungsportalen (zur Bewertung von Selbstständigen, bspw. Ärzte)
• Geolokalisierung von Beschäftigten (bspw. per Handy-Ortung oder GPS)
• Betrieb von Dating- und Kontaktportalen mit umfangreicher Erstellung von Profilen, um den Benutzern automatisiert Vorschläge unterbreiten zu können
• Telefongespräch-Auswertung mittels Algorithmen
• Offline-Tracking von Kundenbewegungen in Warenhäusern
• Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Nachlässen und Rabatten

Fazit

Entsprechend den Listen sind DSFA’s insbesondere für Verarbeitungsvorgänge durchzuführen, die mit einer großen Anzahl an Daten einhergehen, die automatisiert Profile erstellen, mit sensiblen Daten arbeiten oder den Aufenthalt von Personen lokalisieren.

Verantwortlichen wird damit eine erste Hilfestellung geboten, um Rechtssicherheit zu erlangen, welche Verarbeitungen eine DSFA erfordern. Zu beachten ist jedoch, dass diese Listen nicht abschließend sind. Bei der Vielzahl von Möglichkeiten, wie Daten verarbeitet werden, ist die Wahrscheinlichkeit relativ groß, dass eine Verarbeitung mit hohem Risiko eher nicht auf einer der Blacklists zu finden ist. Man sollte deshalb bei jeder Verarbeitung den Gedanke im Hinterkopf behalten, dass diese möglicherweise einer DSFA bedarf.

Zudem sollte regelmäßig auf Anpassungen dieser Listen geachtet werden.  Denn so wie die digitale Welt stetig im Wandel ist, wird es für die Aufsichtsbehörden nötig sein auch die Blacklists auf dem Stand der Technik zu halten.

Schließlich bleibt festzuhalten, dass die Blacklists immer zu beachten sind, wenn man eine Verarbeitung von Daten beginnt. Gerät man in den Bereich einer dort genannten Verarbeitung, ist eine DSFA durchzuführen. Wenn keine DSFA durchgeführt wird und die Aufsichtsbehörden stellen ein hohes Risiko für Rechte und Freiheiten der Betroffenen fest, stellt dies eine Verletzung der Datenschutz-Grundverordnung dar.