18.11.2018

EU DSGVO/GDPR: Weitere Guidelines zur Datenschutz-Folgenabschätzung (DSFA/DPIA) veröffentlicht

Mit der EU Datenschutz-Grundverordnung (DSGVO/GDPR) wurde gemäss Art. 35 DSGVO das Instrument der Datenschutz-Folgenabschätzung (DSFA/DPIA) eingeführt. Vereinfacht gesagt, handelt es sich dabei um eine Beschreibung, Bewertung und Eindämmung von Risiken für bestimmte Datenverarbeitungen.

Im Sinne einer Generalklausel ist eine DSFA immer dann durchzuführen, wenn die Verarbeitung personenbezogener Daten „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Ausserdem ist die DSFA bei Datenverarbeitungen gemäss Art. 35 Abs. 3 DSGVO durchzuführen.

Beispiele von Guidelines zur DSFA von Behörden, Verbänden sowie weiteren Interessengruppen können hier abgerufen werden.

Zwischenzeitlich haben sich der Europäische Datenschutzausschuss (EDPB) sowie die Datenschutzaufsichtsbehörden der EU-Mitgliedsstaaten auf gemeinsame Kriterien für sog. Black Lists und White Lists zur DSFA geeinigt und diese angenommen. Entsprechen Datenbearbeitungen den Kriterien einer Black List, ist vorab eine DSFA durchzuführen (Art. 35 Abs. 4 DSGVO). Entsprechend kann auf eine DSFA verzichtet werden, wenn die Kriterien einer White List erfüllt werden (Art. 35 Abs. 5 DSGVO). In diesem Zusammenhang wurden 260 Datenbearbeitungen geprüft und einer Black oder White List zugewiesen.

Michal Cichocki
© LawBlogSwitzerland.ch
Maira Gall