Hat die Schwellwertanalyse zur Datenschutz-Folgenabschätzung (DSFA, Art. 35 DS-GVO) ergeben, dass bei bestimmten Verarbeitungen wahrscheinlich ein hohes Risiko für die Rechte der betroffenen Personen besteht, so muss dies durch entsprechende Einträge im Verzeichnis der Verarbeitungstätigkeiten (VVT, Art. 30 DS-GVO) dokumentiert werden.
Hierauf weist aktuell das bayerische Landesamt für Datenschutz (BayLDA) hin, das im Rahmen seiner Aufgaben als Aufsichtsbehörde für den nicht-öffentlichen Bereich (Art. 18 Abs. 1 BayDSG, Art. 58 DS-GVO) zufällig ausgewählte Verantwortliche mit den folgenden Prüfunterlagen zur Auskunft auffordert:
Auch für den öffentlichen Sektor, der grundsätzlich denselben Regeln zur DSFA-Schwellwertanalyse unterliegt, bieten die Prüfunterlagen praktisch nützliche Hinweise. So konkretisiert der Prüfbogen 16 Schwellwertkategorien (codiert durch die Buchstaben A bis P), welche jeweils die Wahrscheinlichkeit eines hohen Risikos begründen. Dies erleichtert die Operationalisierung beziehungsweise die eigene Überprüfung der Schwellwertanalyse. Die
relevanten Einträge im VVT zur Schwellwertkategorie veranschaulicht ein Muster in der Anleitung.
Die Durchführung einer DSFA als komplexer Prozess stellt den Verantwortlichen vor erhebli-
che Herausforderungen: Gerade auch in öffentlichen Stellen ist Fachpersonal häufig nicht in
ausreichendem Maß verfügbar, oft wird auch der Aufwand der DSFA-Umsetzung unterschätzt.
Insidas berät Sie umfassend zum Themenbereich DSFA und unterstützt Sie bei der ordnungsgemäße Umsetzung der rechtlichen Vorgaben.
Weiterführende Hinweise:
- BayLDA: Informationen zur DSFA, insbesondere zu Schwellwertanalysen
- Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD): Risikoanalyse und Datenschutz-Folgenabschätzung. Systematik, Anforderungen, Beispiele (Vers. 1.0 vom 01.05.2022)
- Datenschutzkonferenz (DSK): DSFA-„Muss-Liste“ (Vers. 1.1 vom 17.10.2018)
- Datenschutzgruppe nach Art. 29 Richtlinie 95/46/EG: Working Paper 248 (rev.01): Leitlinien zur DSFA und Beantwortung der Frage, ob eine Verarbeitung im Sinne der DS-GVO „wahrscheinlich ein hohes Risiko mit sich bringt“ (04.10.2017).
- Erwägungsgrund 75 der DS-GVO: Risiken für die Rechte und Freiheiten natürlicher Personen
