Die Datenschutz-Folgenabschätzung stellt nach Artikel 35 DSGVO eine neue Pflicht für Unternehmen dar, die mit erheblichem Aufwand verbunden sein kann und deren Durchführung etwas Erfahrung benötigt.

Bevor eine Datenschutz-Folgenabschätzung erfolgen muss ist zu klären, ob hierzu eine Pflicht besteht.

Dazu sollte folgendes geprüft werden:

  • Hat die Verarbeitung möglicherweise ein hohes Risiko, für die Rechte und Freiheiten natürlicher Personen?
  • Erfolgt eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch automatisierte Verarbeitung einschließlich Profiling?
  • Erfolgt eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder über strafrechtliche Verurteilungen und Straftaten?
  • Erfolgt eine systematische umfangreiche Überwachung öffentlicher Bereiche?
  • Steht die Verarbeitung auf der Blacklist der Aufsichtsbehörde?
  • Gibt es eine ähnliche Verarbeitung, für die bereits eine Datenschutz-Folgenabschätzung durchgeführt wurde?

Sofern eine dieser Fragen mit „Ja“ beantwortet werden muss, ist eine Datenschutz-Folgenabschätzung durchzuführen.

Interessant ist insbesondere, wie sich die Aufsichtsbehörden bzgl. der in Artikel 35 Abs. 4) vorzugebenden Blacklist verhalten. Hier ist leider in den Bundesländern keine Einigkeit zu erkennen, so dass je nach Sitz des Unternehmens die Blacklist der Aufsichtsbehörde kontrolliert werden sollte.

Eine schöne Übersicht zu den Blacklisten der Aufsichtsbehörden veröffentlicht die Kanzlei Orkan Dogan Rechtsanwalt.

Bezüglich der Vorgehensweise bzgl. Datenschutz-Folgenschabschätzung verweise ich hier auf die GDD-Praxishilfe Nr. 10 .