Bayerische Blacklist zur Datenschutz-Folgenabschätzung für den öffentlichen Bereich

Jetzt bewerten!

Seit neun Monaten gilt die Datenschutz-Grundverordnung (DSGVO). Inzwischen etabliert sich das neue Recht Schritt für Schritt in der Praxis. Einen wichtigen Markstein bildet dabei die aktuelle „Blacklist“ zur Datenschutz-Folgenabschätzung des Bayerischen Landesbeauftragten für den Datenschutz. Auch sie lässt aber Fragen offen.

 

Am 7. März 2019 hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) seine „Bayerische Blacklist“ für die Datenschutz-Folgenabschätzung (DSFA) bereitgestellt. Die Liste wird durch eine Fallstudie1 ergänzt, welche die Methodik der Datenschutz-Folgenabschätzung verdeutlichen soll.

 

Das Informationsmaterial vervollständigt die bereits zu einem früheren Zeitpunkt veröffentlichte Orientierungshilfe2 zur Datenschutz-Folgenabschätzung und die Empfehlung zu ihrer Durchführung mit Hilfe einer von der französischen Datenschutzaufsichtsbehörde CNIL entwickelten Software3.

 

Mit seiner „Blacklist“ für den bayerischen öffentlichen Bereich kommt der BayLfD seiner Verpflichtung nach, Verarbeitungsvorgänge zu benennen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben (Art. 35 Abs.4 DSGVO). Sie sind nach Art. 35 Abs. 1 DSGVO vorab einer Abschätzung der Folgen für den Schutz personenbezogener Daten zu unterziehen.


Für DSFA-pflichtige Verarbeitungen, die am 25. Mai 2018 bereits eingeleitet waren und die ohne wesentliche Änderungen fortgeführt werden, gilt eine Prüfpflicht weiterhin erst drei Jahre nach Beginn der Geltung der DSGVO (so weiterhin die Arbeitshilfen des Bayer. Innenministeriums4).


Mit 44 Konstellationen aus 21 Fachbereichen ist der Umfang der Bayerischen Blacklist beachtlich. Trotzdem erhebt sie nicht den Anspruch, sämtliche im öffentlichen Bereich denkbaren DSFA-pflichtigen Vorgänge abschließend zu beschreiben. Der Praxis vermittelt die Liste gleichwohl in vielen Fällen zumindest erste Leitlinien, unter welchen Gegebenheiten ein „hohes Risiko“ im Sinne von Art. 35 Abs. 1 DSGVO angenommen werden sollte.


Im Detail überlässt die Liste den Verantwortlichen in vielen Fällen noch erhebliche Beurteilungsspielräume und damit erhebliche Konkretisierungsarbeit:

  • Bei der Fallgruppe „umfangreiche Verarbeitung besonders geschützter Daten“ steht für die Beurteilung der DSFA-Pflicht im Bereich der Beihilfe ein klarer Maßstab bereit. Er ergibt sich aus der Vergleichbarkeit mit den Datenvolumina des Landesamts für Finanzen oder der Landeshauptstadt München.

  • Weniger konkret stellt sich die Liste aber bei der DSFA-Pflicht für die Fallgruppe der Verarbeitung „umfangreicher Gesundheitsdaten“ dar. Hier werden so heterogen strukturierte Stellen wie „Gesundheitsamt“ bzw. „Kassenärztliche Vereinigung“ oder „Krankenhaus“ und „Krebsregister“ parallel als DSFA-pflichtig identifiziert. Die Praxis steht damit vor der nahezu unlösbaren Aufgabe, solche Verarbeitungen von Gesundheitsdaten zwischen diesen unklaren Referenzpunkten zuverlässig einzuordnen.

 


Die zeitgleich veröffentlichte, 35-seitige Einführung in die Methodik der Datenschutzfolgenabschätzung (einschließlich eines Fallbeispiels einer Folgenabschätzung zur Verarbeitungstätigkeit „Personal verwalten“) macht deutlich, dass die DSFA nicht leichtfertig als bloße Nachfolgerin der früheren datenschutzrechtlichen Freigabe unterschätzt werden sollte. Ihre komplexe Methodik kennzeichnet sie vielmehr als Ausnahmevorgang, für dessen Handhabung in der Datenschutzpraxis der öffentlichen Stellen in Bayern noch zahlreiche Fragen zu klären sein werden.

 

 

Dr. Eugen Ehmann, Regierungspräsident Unterfranken   

Michael Will, Ministerialrat im Bayerischen Staatsministerium des Innern, für Sport und Integration


Wilde / Ehmann / Niese / Knoblauch

Bayerisches Datenschutzgesetz, Datenschutz-Grundverordnung - Kommentar und Handbuch für Datenschutzverantwortliche

Vierteljahrespreis‎ 49,99 €
Online-Produkt
Mein Kommentar
Sie sind nicht eingeloggt
Bitte benachrichtigen Sie mich bei neuen Kommentaren.
Ihr Kommentar erscheint unter Verwendung Ihres Namens. Weitere Einzelheiten zur Speicherung und Nutzung Ihrer Daten finden Sie in unserer Datenschutzerklärung.

Sicherheitskontrolle: Bitte rechnen Sie die Werte aus und tragen Sie das Ergebnis in das dafür vorgesehene Feld ein. *

0 Kommentare zu diesem Beitrag
Login
 
Wie können wir Ihnen weiterhelfen?
Kostenlose Hotline: 0800-2183-333
Kontaktformular

Gerne können Sie auch unser Kontaktformular benutzen und wir melden uns bei Ihnen.

Kontaktformular
Beste Antworten. Mit den kostenlosen rehm Newslettern.
Jetzt aus zahlreichen Themen wählen und gratis abonnieren  

Kundenservice

  • +49 0800-2183-333
  • Montag - Donnerstag:    8-17 Uhr
  • Freitag:                           8-15 Uhr
  • Sie können uns auch über unser Kontaktformular Ihre Fragen und Anregungen mitteilen.

Verlag und Marken

Unsere Themen und Produkte

 

Service

 

Rechtliches

Zahlungsarten 

Rechnung Bankeinzug   MastercardVisa

PayPal Giropay Sofortüberweisung