Die Datenschutz-Folgenabschätzung für ähnliche Verarbeitungsvorgänge

von Dr. Datenschutz

Ab dem 25. Mai 2018 wird das Konzept der Datenschutz-Folgenabschätzung mit der Datenschutz-Grundverordnung (DSGVO) eingeführt. Durch die Ähnlichkeiten mit der in Deutschland bisher in § 4 d Abs. 5 BDSG, Art. 20 DS-RL normierten Vorabkontrolle, dürften die Umstellungsschwierigkeiten in diesem Bereich des Datenschutzes überschaubar bleiben. Eine interessante Neuerung bringt allerdings Artikel 35 der DSGVO.

Wann sind Verarbeitungsvorgänge ähnlich?

Laut Art. 35 Abs. 1 DSGVO kann die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohem Risiko anhand einer einzigen Abschätzung vorgenommen werden. Die Datenschutz-Grundverordnung bleibt sich treu und bietet auch an dieser Stelle jede Menge Interpretationsspielraum. Wann sind Verarbeitungsvorgänge ähnlich? Wann besteht ein ähnlich hohes Risiko?

Gemeinsame Anwendung für horizontale Tätigkeit

Interessantes aber wenig Konkretes für einen Interpretationsmaßstab finden wir hierzu in den Erwägungsgründen zur DSGVO. Erwägungsgrund 92 besagt, dass es unter bestimmten Umständen vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein kann, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen, sondern sie thematisch breiter anzulegen – beispielsweise, wenn Behörden oder öffentliche Stellen eine gemeinsame Anwendung oder Verarbeitungsplattform schaffen möchten oder wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK