Das Verarbeitungsverzeichnis als Grundlage für die Ermittlung der Erforderlichkeit von Datenschutzfolgenabschätzungen (DSFAs)

PrintMailRate-it

​veröffentlicht am 31. August 2022

Besteht bei der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, hat der Verantwortliche gem. Art. 35 DSGVO eine Datenschutzfolgenabschätzung (DSFA) durchzuführen. Die Grundlage für die Beantwortung der Frage, ob eine DSFA erforderlich ist oder nicht, bildet das Verarbeitungsverzeichnis. Mit Hilfe des Verarbeitungsverzeichnisses kann der Verantwortliche gezielt identifizieren, für welche Verarbeitungsvorgänge ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegen und für welche nicht.

Besteht bei der Verarbeitung personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, hat der Verantwortliche gem. Art. 35 DSGVO eine Datenschutzfolgenabschätzung (DSFA) durchzuführen. Speziell in der Gesundheitswirtschaft muss dies aufgrund der hohen Sensibilität der verarbeiteten Daten besonders sorgfältig geprüft werden.

 

Doch wie findet der Verantwortliche heraus, wann und ob er tatsächlich eine Datenschutzfolgenschätzung vorzunehmen hat? Die Grundlage hierfür bildet das Verarbeitungsverzeichnis. Das sog. Verzeichnis der Verarbeitungstätigkeiten ist von der verantwortlichen Stelle zu führen und bildet alle Tätigkeiten ab, die sich auf die Verarbeitung personenbezogener Daten beziehen. Es muss mindestens die Anforderungen gem. Art. 30 Abs. 1 DSGVO enthalten und ist in schriftlicher Form zu erstellen.


Mit Hilfe des Verarbeitungsverzeichnisses kann der Verantwortliche gezielt identifizieren, für welche Verarbeitungstätigkeiten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegen. Diese Risikobewertung bildet die erforderliche Vorprüfung für eine Datenschutzfolgenabschätzung. Gleichzeitig ist sie aber auch der Nachweis, warum der Verantwortliche ggf. zu dem Ergebnis kommt, dass gerade keine DSFA erforderlich ist.

 

Zu berücksichtigen bei der Bewertung der einzelnen Verarbeitungen sind dabei die sog. „Backlists“ der Aufsichtsbehörden. Die Aufsichtsbehörden haben die Möglichkeit, Listen von Verarbeitungsvorgängen zu veröffentlichen, für die sie eine DSFA als erforderlich sehen (vgl. Art. 35 Abs. 4 DSGVO). Das BayLDA verweist für den nicht-öffentlichen Bereich auf die Blacklist der Datenschutzkonferenz (DSK). Nach dieser ist beispielsweise für die Verarbeitung von biometrischen Daten oder genetischen Daten eine DSFA zwingend erforderlich. Wichtig dabei ist: Die Blacklists gelten nicht abschließend, sondern sind lediglich eine Ergänzung der in den Art. 35 Abs. 1 und 3 DSGVO enthaltenen Regelungen.

 

Das Ergebnis der Risikobewertung, ob eine DSFA erforderlich ist oder nicht, muss der Verantwortliche anschließend dokumentieren. Ob die Bewertung der Erforderlichkeit nun tatsächlich im Verarbeitungsverzeichnis abgebildet oder ob die Dokumentation anderweitig vorgenommen wird, überlasst die DSGVO dem Verantwortlichen. Die Mindestanforderungen zum Verarbeitungsverzeichnisses gem. Art. 30 Abs. 1 DSGVO verlangen dies zumindest nicht.

 

Es ist jedoch zu empfehlen die Dokumentation innerhalb des Verarbeitungsverzeichnisses vorzunehmen, da der Verantwortliche in diesem Zusammenhang seiner Rechenschaftspflicht nachkommt und zugleich eine klare Übersicht und Struktur vorhanden ist, wenn es um die Verwaltung der bestehenden Verarbeitungsvorgängen geht oder ggf. eine Prüfung durch die Aufsicht erfolgt.

 

 

Hier finden Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats” »

 


 

Offizielles Kurzpapier der DSK (bayern.de)

 Folgen Sie uns!

Linkedin Banner

Kontakt

Contact Person Picture

Denise Klante

Master of Laws, Compliance Officer (TÜV), Datenschutzbeauftragte DSB-TÜV

+49 911 9193 1178

Anfrage senden

Deutschland Weltweit Search Menu