DSGVO-fuer_website_Betreiber_ECO-VERBAND-Whitepaper

Weitere Magazine

Empfehlungen

Info

2.5 DATENSCHUTZ-FOLGENABSCHÄTZUNG Gänzlich neu trifft Sie unter Umständen die in Art. 35 DSGVO geregelte Datenschutz- Folgenabschätzung. Datenschutz-Folgenabschätzung bedeutet konkret, dass Sie in manchen Fällen im Voraus eine Abschätzung vornehmen müssen, welche Folgen die vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten haben könnte. Wann dies der Fall ist und wie eine solche Schätzung abzulaufen hat, erläutern wir Ihnen im Folgenden. 2.5.1 IN WELCHEN FÄLLEN IST EINE DATENSCHUTZ- FOLGENABSCHÄTZUNG DURCHZUFÜHREN? Eine Datenschutz-Folgenabschätzung ist nach Art. 35 Abs. 1 DSGVO immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Dies ist insbesondere bei der Verwendung neuer Technologien der Fall. Daher soll gemäß Art. 35 Abs. 3 DSGVO eine Datenschutz-Folgenabschätzung insbesondere dann erfolgen, wenn es sich um Technologien handelt, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten, eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten erfolgt oder systematisch eine umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfinden soll. eco – Verband der Internetwirtschaft e. V. 2
Da die zuvor erläuterten Fälle einer notwendigen Folgenabschätzung nur Regelbeispiele sind, damit keinesfalls abschließend, soll die Aufsichtsbehörde den Verantwortlichen darin unterstützen, abschätzungsbedürftige Datenverarbeitungsvorgänge zu ermitteln. Der europäische Gesetzgeber erlegt den Aufsichtsbehörden in Art. 35 Abs. 4 und 5 DSGVO daher die Pflicht auf, eigene Listen der Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (sogenannte Blacklist) bzw. für die gerade keine Datenschutz-Folgenabschätzung erforderlich ist (sogenannte Whitelist). Dieser Pflicht zur Erstellung von Black- und Whitelists ist die Artikel-29-Datenschutzgruppe, ein Zusammenschluss der europäischen Aufsichtsbehörden, nachgekommen. Sie hat am 4. April 2017 die »Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is ›likely to result in a high risk‹ for the purposes of Regulation 2016/679« (WP 248 17/EN) veröffentlicht, an denen Sie sich orientieren können. Hinweis Die Artikel-29-Datenschutzgruppe, (engl. Article 29 Data Protection Working Party) ist das unabhängige Beratungsgremium der EU-Kommission in datenschutzrechlichen Fragestellungen. Die rechtliche Grundlage dieser Gruppe geht auf die europäische Datenschutzrichtlinie zurück (95/46/EG), die inzwischen durch die Datenschutz-Grundverordnung ersetzt wurde. Diese neue Gesetzeslage hat zudem zur Folge, dass seit dem 25. Mai 2018 die Art. 29-Datenschutzgruppe durch ihren Rechtsnachfolger, den Europäischen Datenschutzausschuss, abgelöst wurde. Dieser besteht jedoch derzeit noch nur auf dem Papier. Hier sollten Sie weitere Entwicklungen mitverfolgen – auch im Hinblick auf die Frage, ob der Europäische Datenschutzausschuss der bisherigen Rechtsauffassung der Artikel 29-Datenschutzgruppe folgen wird. eco – Verband der Internetwirtschaft e. V. 3
Seite 1: Ein Auszug aus dem Buch „DSGVO f
Seite 5 und 6: 2. Automatisierte Entscheidungsfind
Seite 7 und 8: Bundesdatenschutzbeauftragte, abruf
Seite 9 und 10: Hinweis Es kann unter Umständen zw
Seite 11 und 12: Insbesondere im IT-Bereich nimmt di
Seite 13 und 14: asiert. Wie ein solcher Vertrag aus
Seite 15 und 16: 2.7 DATENTRANSFER IN DRITTSTAATEN D
Seite 17 und 18: 2.7.1 UNTER WELCHEN BEDINGUNGEN IST
Seite 19 und 20: Bei dieser Beurteilung untersucht d
Seite 21: 2.7.4 KANN EIN DATENTRANSFER IN DRI

DSGVO-fuer_website_Betreiber_ECO-VERBAND-Whitepaper

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?