Logo LDI NRW

Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

Besteht bei Datenverarbeitungsvorgängen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche vorab eine Abschätzung der Folgen der vorhergesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchführen – so genannte Datenschutz-Folgenabschätzung.

Die Datenschutz-Folgenabschätzung ist also ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten. Ihr Ziel besteht darin, Kriterien für den Schutz der betroffenen Personen zu definieren und die Folgen der Datenverarbeitung möglichst umfassend zu erfassen.

Einen ersten Überblick geben die Kurzpapiere der Datenschutz-Konferenz zur Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und zum Risiko für die Rechte und Freiheiten natürlicher Personen, das dabei zu prüfen ist.

Vertiefte Informationen enthalten Leitlinien, die der Europäische Datenschutzausschuss bestätigt hat.

Unter bestimmten Umständen ist eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen. Das ist der Fall, wenn die DS-GVO dies erfordert und wenn eine Verarbeitungstätigkeit in einer Liste der Aufsichtsbehörde aufgeführt ist.

Nicht-öffentliche Stellen, also etwa Unternehmen und Vereine, müssen immer eine Datenschutz-Folgenabschätzung durchführen, wenn ihre Verarbeitungstätigkeit in der Liste für den nicht-öffentlichen Bereich genannt ist.

Nordrhein-westfälische Behörden und andere öffentliche Stellen, die nicht am Wettbewerb teilnehmen, müssen immer eine Datenschutz-Folgenabschätzung durchführen, wenn ihre Verarbeitungstätigkeit in der Liste für den öffentlichen Bereich genannt ist.

Eine Liste, wann keine Datenschutz-Folgenabschätzung erforderlich ist, gibt es in NRW nicht.

Datenschutz-Folgenabschätzung bei bereits bestehenden Verfahren bzw. Datenverarbeitungsvorgängen

Ob bei einem bestehenden Verfahren bzw. einem Datenverarbeitungsprozess ebenfalls eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO durchzuführen ist, ist grundsätzlich eine Frage des Einzelfalls.

Allerdings führt das vom EDSA gebilligte Working Paper 248 rev. 01 "Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“ (zuletzt überarbeitet und angenommen am 4. Oktober 2017) der Artikel 29-Gruppe hierzu aus, dass ein Bestandsverfahren von der Datenschutz-Folgenabschätzung ausgenommen ist, wenn

  • es bereits eine Vorabkontrolle durch den Datenschutzbeauftragten gab und
  • der Verarbeitungsvorgang noch immer auf dieselbe Art durchgeführt wird und
  • sich das mit dem Verarbeitungsvorgang verbundene Risiko nicht geändert hat.

Solange diese Voraussetzungen vorliegen, bedarf es keiner Datenschutz-Folgenabschätzung für Bestandsverfahren. Werden Änderungen am Verarbeitungsvorgang vorgenommen oder ändert sich das Risiko, ist eine Datenschutz-Folgenabschätzung durchzuführen.

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den nicht-öffentlichen Bereich Hinweis: Diese Liste ist verbindlich. Bei den aufgeführten Verfahren handelt es sich lediglich um eine beispielhafte Aufzählung.

Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist (Version 1.1 vom 17.10.2018, ersetzt die Liste vom 18.07.2018)
List of processing activities for which a DPIA is to be carried out (Version 1.1 of 17.10.2018, replaces the list of 18.07.2018)

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für den öffentlichen Bereich Hinweis: Diese Liste ist verbindlich, aber nicht abschließend.

Veröffentlichungen der Datenschutzkonferenz