Mit der EU-Datenschutz-Grundverordnung wurde die Datenschutz-Folgenabschätzung (DSFA) eingeführt (Art. 35 EU-DSGVO). Hierbei handelt es sich um die Pflicht des Verwantwortlichen der Datenverarbeitung, vor Beginn einer Datenverarbeitung die Folgen abzuschätzen und entpsrechend zu dokumentieren. Nun sind endlich die ersten Positivlisten erschienen, die Verarbeitungsvorgänge enthalten, für die eine DSFA durchzuführen ist.
Trotzdem bleiben Fragen offen.
Folgende Aufsichtsbehörden haben die ersten deutschen Positivlisten zur Datenschutz-Folgenabschätzung veröffentlicht:
Die Aufsichtsbehörden weisen jedoch explizit auf die Unvollständigkeit hin und damit verbunden auf den Hinweis, dass fehlende Verarbeitungstätigkeiten nicht bedeuten, es sei keine DSFA durchzuführen. Ebenfalls wird angeführt, dass die Listen als „lebendiges“ Papier anzusehen sind, also ständig aktualisiert und verändert werden können.
Da die Anforderungen nicht unter den Aufsichtsbehörden abgestimmt sind, gibt es keine einheitliche Liste in Deutschland. Daraus ergibt sich die berechtigte Frage, wie es zu einer einheitlichen Regelung und Auslegung innerhalb der EU kommen soll, wenn dies noch nicht einmal innerhalb eines Landes funktioniert.
Listen gemäß Art. 35 Abs. 4 DS-GVO der deutschen Datenschutz-Aufsichtsbehörden bzw. eine vergleichende Übersicht findet man unter
http://ds-gvo.gesundheitsdatenschutz.org/html/dsfa_liste_aufsichtsbehoerden.php.