Datenschutz-FolgenabschätzungArt. 35 Abs. 1 Datenschutz-Grundverordnung (DSGVO) verpflichtet alle Verantwortlichen, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn eine vorgesehene Verarbeitungstätigkeit aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Alle Verantwortlichen haben daher vor Aufnahme einer Verarbeitungstätigkeit zu prüfen, ob ein solches hohes Risiko voraussichtlich vorliegt. Die Prüfung ist zu dokumentieren.
In einigen Fällen gibt der Gesetzgeber unmittelbar vor, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies ist in Art. 35 Abs. 3 DSGVO geregelt und betrifft insbesondere die umfangreiche Verarbeitung besonders geschützter Daten.
Um den Verantwortlichen die Einschätzung, ob eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung vorliegt, weiter zu erleichtern, stellen die Aufsichtsbehörden auf der Grundlage von Art. 35 Abs. 4 DSGVO Listen von Verarbeitungstätigkeiten auf, bei deren Durchführung auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen ist. Auf dieser Seite finden Sie zwei Listen der Berliner Beauftragten für Datenschutz und Informationsfreiheit: die Liste für den öffentlichen Bereich und die Liste für den nicht-öffentlichen Bereich.
Wird die Verarbeitungstätigkeit der Verantwortlichen in den Listen nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine Datenschutz-Folgenabschätzung durchzuführen wäre. Für die dann nötige Einzelfallprüfung und die Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 wahrscheinlich ein hohes Risiko mit sich bringt, bieten die Leitlinie der Art. 29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (Working Paper 248) und die Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder mit den Bezeichnungen Nr. 5 zur Datenschutz-Folgenabschätzung und Nr. 18 zum Begriff des Risikos für die Rechte und Freiheiten natürlicher Personen nähere Hinweise.
Art. 35 Abs. 1 Datenschutz-Grundverordnung (DSGVO) verpflichtet alle Verantwortlichen, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn eine vorgesehene Verarbeitungstätigkeit aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Alle Verantwortlichen haben daher vor Aufnahme einer Verarbeitungstätigkeit zu prüfen, ob ein solches hohes Risiko voraussichtlich vorliegt. Die Prüfung ist zu dokumentieren.
In einigen Fällen gibt der Gesetzgeber unmittelbar vor, dass eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies ist in Art. 35 Abs. 3 DSGVO geregelt und betrifft insbesondere die umfangreiche Verarbeitung besonders geschützter Daten.
Um den Verantwortlichen die Einschätzung, ob eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung vorliegt, weiter zu erleichtern, stellen die Aufsichtsbehörden auf der Grundlage von Art. 35 Abs. 4 DSGVO Listen von Verarbeitungstätigkeiten auf, bei deren Durchführung auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen ist. Auf dieser Seite finden Sie zwei Listen der Berliner Beauftragten für Datenschutz und Informationsfreiheit: die Liste für den öffentlichen Bereich und die Liste für den nicht-öffentlichen Bereich.
Wird die Verarbeitungstätigkeit der Verantwortlichen in den Listen nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine Datenschutz-Folgenabschätzung durchzuführen wäre. Für die dann nötige Einzelfallprüfung und die Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 wahrscheinlich ein hohes Risiko mit sich bringt, bieten die Leitlinie der Art. 29-Datenschutzgruppe zur Datenschutz-Folgenabschätzung (Working Paper 248) und die Kurzpapiere der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder mit den Bezeichnungen Nr. 5 zur Datenschutz-Folgenabschätzung und Nr. 18 zum Begriff des Risikos für die Rechte und Freiheiten natürlicher Personen nähere Hinweise.