“Ein verantwortungsvoller Umgang mit Daten muss die Norm werden. Mit unseren Lösungen befähigen wir Unternehmen schon heute dazu.”
Kathrin Schürmann
Geschäftsführerin caralegal GmbH
Wenn dein Unternehmen personenbezogene Daten verarbeitet, muss du unter Umständen eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Welche Bedingungen dafür gelten, hängt in Deutschland jedoch mitunter von den Vorgaben der einzelnen Bundesländer ab. Damit du immer genau weißt, wann gemäß der Datenschutz-Grundverordnung (DSGVO) eine DSFA notwendig ist, haben wir für dich eine übersichtliche DSFA-Liste für alle Bundesländer zusammengestellt, die du dir in diesem Artikel herunterladen kannst.
Die rechtliche Grundlage für Datenschutz-Folgenabschätzungen bildet Art. 35 DSGVO. In den Absätzen 4 und 5 hat der Gesetzgeber festgehalten, dass die Aufsichtsbehörden eine DSFA-Muss-Liste sowie eine DSFA-Muss-Nicht-Liste erstellen müssen bzw. können. Die erste Liste enthält Verarbeitungstätigkeiten (VT), die in jedem Fall eine Datenschutz-Folgenabschätzung voraussetzen. Die zweite wiederum listet VT, für die eine DSFA von vornherein nicht nötig ist. Im föderalen Deutschland schlägt sich das in den unterschiedlichen DSFA-Listen der 16 Bundesländer nieder.
Während die Behörden bislang von Muss-Nicht-Listen Abstand genommen haben, haben zahlreiche Bundesländer eigene Vorgabenkataloge entwickelt, die dir sagen, bei welchen Verarbeitungstätigkeiten du eine DSFA durchführen musst. Einzelne Bundesländer haben dabei entweder eine eigene Liste erstellt oder auf jene der DSK (Datenschutzkonferenz) verwiesen. Die Durchsicht all dieser Dokumente kann in der Praxis mühsam ausfallen. Daher haben wir alle Vorgaben in einem einzigen Verzeichnis zusammengestellt, in dem du auf einen Blick erkennst, in welchem Bundesland welche VT eine DSFA erfordert. Diesen Katalog kannst du dir hier herunterladen, um ihn jederzeit zur Verfügung zu haben. Beachte aber, dass diese Liste nur für Deutschland gilt und im Ausland andere Vorgaben gelten können.
Um herauszufinden, ob du für eine Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung erstellen musst, sind zwei Prüfschritte nötig:
Zunächst musst du abgleichen, ob die VT in der DSFA-Muss-Liste deines Bundeslandes enthalten ist. Dabei hilft dir beispielsweise die Übersicht in der caralegal-Software oder du nutzt die DSFA-Liste, die dir hier zum Download bereitsteht.
Ergibt dein Abgleich, dass die fragliche VT nicht in der DSFA-Liste inkludiert ist, bist du von der Durchführung einer Datenschutz-Folgenabschätzung jedoch noch nicht befreit: Bevor du Klarheit hast, musst du noch eine Schwellwertanalyse durchführen und dabei neun Fragen beantworten. Diese neun Punkte haben wir dir in unserem Guide zur Schwellwertanalyse detailliert zusammengestellt: Link zur Schwellwertanalyse-Anleitung
Mit unserer Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, klärst du die Frage deiner Pflicht zur DSFA bezüglich einer einzelnen Verarbeitungstätigkeit – so setzt du die Vorgaben der DSGVO in deiner Arbeit verlässlich um.
Lade dir jetzt gleich unsere praktische DSFA-Liste herunter, damit du dir immer sicher sein kannst, welche Vorgaben in deinem Bundesland gelten. Die Liste ist auch Teil unserer Datenschutzmanagement-Software, mit der du stets auf dem neuesten rechtlichen Stand bist und den Datenschutz optimal in deine Prozesse integrieren kannst.
Entdecke weitere Beiträge zu diesem Thema:
en_US
