Die DSK-Blacklist verrät bei welchen Verarbeitungen personenbezogener Daten Sie eine Datenschutz-Folgenabschätzung durchführen sollten

Mit der Datenschutz-Folgenabschätzung (DSFA) prüfen Unternehmen mögliche Risiken bei der Verarbeitung personenbezogener Daten. Im Rahmen dessen sollen die Datenschutzaufsichtsbehörden Positiv- bzw. Negativlisten für die Fälle, in denen die DSFA zwingend bzw. entbehrlich ist, veröffentlichen. Einzelne Aufsichtsbehörden hatten bereits vor einiger Zeit eigene Listen veröffentlicht, diese waren aber nicht an die der anderen angeglichen. Nun legt die Datenschutzkonferenz (DSK), das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, für Deutschland eine abgestimmte Blacklist vor.

Verarbeitungen, für die eine DSFA erfolgen muss

Die „DSFA Liste Deutschland“ der DSK (PDF, Version 1.0 vom 10. Juli 2018) sieht vor, dass folgende Verarbeitungstätigkeiten der Pflicht einer vorherigen Datenschutz-Folgenabschätzung unterliegen:

  1. Umfangreiche Verarbeitung von Daten, die einem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  2. Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von Menschen
  3. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten zu bestimmten Zwecken
  4. Erfassung personenbezogener Daten in öffentlichen Bereichen durch mehrere Erfassungssysteme, die zentral zusammengeführt werden
  5. Umfangreiche Erhebung, Veröffentlichung oder Übermittlung von personenbezogenen Daten zur Bewertung von Verhalten oder anderer persönlichen Aspekte von Menschen
  6. Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten
  7. Erstellung von Profilen über Interessen und persönliche Beziehungen sowie Persönlichkeit von Menschen
  8. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der Daten, insbesondere, wenn dies unter Einsatz von Algorithmen geschieht, die für die betroffenen Personen nicht nachvollziehbar sind, oder die Verarbeitung zu Zwecken des Datamining
  9. Verarbeitung unter Einsatz von künstlicher Intelligenz zur Steuerung einer Interaktion mit dem Betroffenen oder zur Bewertung persönlicher Aspekte
  10. Nutzung von Sensoren eines Mobilfunkgeräts zur Bestimmung von Aufenthaltsorten oder Bewegungen von Personen
  11. Automatisierte Auswertung von Video- oder Audioaufnahmen zu Bewertung von Persönlichkeiten
  12. Erhebung personenbezogener Daten über Schnittstellen elektronischer Geräte ohne Kenntnis des Betroffenen
  13. Erstellung umfassender Profile über Bewegung und Kaufverhalten von Personen
  14. Anonymisierung besonderer personenbezogener Daten zum Zwecke der Übermittlung an Dritte
  15. Verarbeitung von besonderen personenbezogenen Daten sowie von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten unter Verwendung neuer Technologien zur Bestimmung der Leistungsfähigkeit von Personen.

Wie sollte mit der DSFA-Liste umgegangen werden?

In der DSFA-Liste der DSK sind einzelne Beispiele und Erläuterungen zu den genannten Verarbeitungen enthalten. Völlige Klarheit bringt diese Blacklist leider immer noch nicht, da Interpretationsspielraum besteht. Insbesondere der in der Liste sehr häufig gebrauchte Begriff der „umfangreichen Verarbeitung“ ist in der Datenschutzpraxis nicht wirklich greifbar. Hier wird man abwarten müssen, ob sich in der Anwendung verlässliche Grenzwerte herausbilden.

Auch andere Begriffe müssen ausgelegt werden und haben keine eindeutige Bedeutung. Im Ergebnis besitzt diese DSFA-Liste aber eine sehr starke Indizwirkung. Mit anderen Worten: Bei Verarbeitungen, die grundsätzlich in die beschriebenen Kategorien passen, auf eine DSFA zu verzichten, muss sehr gut begründet werden. Im Zweifel sollte die Datenschutz-Folgenabschätzung erfolgen.

Ergänzend anzumerken bleibt, dass man sich bei etlichen der genannten Verarbeitungszwecke grundsätzlich fragt, welche Rechtsgrundlage für diese zugrunde gelegt werden soll. Zur Erinnerung: Lässt sich die Verarbeitung nicht als erstes auf eine Rechtsgrundlage stützen, erübrigt sich auch die Frage nach der Datenschutz-Folgenabschätzung. Denn dann ist die Verarbeitung schlicht und einfach verboten und muss unterbleiben. Es darf also keinesfalls der Fehler gemacht werden, Verarbeitungen für zulässig zu halten, nur weil sie in dieser Liste enthalten sind!

Bitte bewerten Sie diese Inhalte!
[3 Bewertung(en)/ratings]
0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.