Datenschutzfolgenabschätzung

Die Art. 29 Datenschutzgruppe der Europäischen Kommission hat sich in ihrer neuesten Stellungnahme zur Datenschutzfolgenabschätzung geäußert und die auszulegenden Rechtsbegriffe des Art. 35 Abs. 1 DSGVO wie Art, Umfang und Umstände der Verarbeitung konkretisiert:

  • Daten die in großem Umfang verarbeitet werden
  • Zusammenführen/ Kombinieren von Daten die durch unterschiedliche Prozesse gewonnen wurden
  • Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener
  • Einsatz biometrischer Verfahren
  • Datentransfer in Länder außerhalb der EU/EWR
  • Die Datenverarbeitung hindert Betroffene an der Rechtsausübung

Dazu kommen noch die in Art. 35 Abs. 3 EU Datenschutz-Grundverordnung gesetzlich vorgesehenen kritischen Verarbeitungen und die Verarbeitungen, die die Privatheit, Vertraulichkeit, Intergität und Subjektivität betreffen (s. letzter Beitrag zur Datenschutzfolgenabschätzung).

Nach der Datenschutzgruppe sollen mindestens zwei der Voraussetzungen vorliegen, es ist aber keine mathematische Betrachtung. Im Zweifel soll auf jeden Fall eine Risikobetrachtung gemacht werden („lieber einmal zu viel, als einmal zu wenig“).

Stephanie Iraschko-Luscher

20.04.2017

MGDS – Ihre Unternehmensberatung für Datenschutz