Datenschutz-Aufsichtsbehörden: Details zu Datenschutz-Folgenabschätzung

[IITR – 29.5.18] Die deutschen Datenschutz-Aufsichtsbehörden haben eine Übersicht veröffentlicht, zu welchen Verarbeitungsvorgängen künftig eine so genannte Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO (also eine detaillierte Vorab-Prüfung der datenschutzrechtlichen Zulässigkeit) durchzuführen ist.

Zum Hintergrund der Übersicht: “(…) [Die] Liste von Verarbeitungsvorgängen („Muss-Liste“) wird verantwortet von dem Landesbeauftragten für Datenschutz und die Informationsfreiheit Baden-Württemberg. Basis für diese Liste ist eine Ausarbeitung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (Federführung) auf Basis der Beiträge von Mitgliedern der Unterarbeitsgruppe Datenschutz-Folgenabschätzung (UAG DSFA) des Arbeitskreises Grundsatzes der Datenschutzkonferenz. Der ursprüngliche Entwurf dieses Textes stammt vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA).”

Erfasst sind danach u.a. folgende Verarbeitungsvorgänge:

• Offline-Tracking von Kundenbewegungen in Warenhäusern
• Fraud-Prevention-Systeme
• Scoring durch Auskunfteien, Banken oder Versicherungen
• Einsatz von Dienstleistern mit Sitz außerhalb der EU durch medizinische Leistungserbringer
• Inkassodienstleistungen
• Data-Loss-Prevention Systeme
• Bewertungsportale
• Große soziale Netzwerke
• Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
• Geolokalisierung von Beschäftigten
• Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
• Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten
• Einsatz von RFID/NFC durch Apps oder Karten
• Video-/Telefongespräch-Auswertung mittels Algorithmen
• Fahrzeugdatenverarbeitung
• Anonymisierung von besonderen Arten personenbezogener Daten nach Art. 9 DS-GVO
• Einsatz von Telemedizin-Lösungen zur detaillierten Bearbeitung von Krankheitsdaten
• Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind
• Mandantendatenverarbeitungen in großen Anwaltskanzleien.

Besonderer Dank an dieser Stelle für Herrn Dr. Kramer für den Hinweis auf die Veröffentlichung und die begleitende Zusammenfassung.

Weitere Informationen:

• Veröffentlichung der Behörden im Wortlaut (PDF)

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.