Ob durch die Verarbeitungstätigkeit ein voraussichtlich hohes Risiko für den Betroffenen besteht, müssen die Verantwortlichen für die Datenverarbeitung prüfen. Orientieren kann man sich dabei an den von den Aufsichtsbehörden veröffentlichten Leitlinien/Kriterien:
- Vertrauliche oder höchst persönliche Daten,
- Daten zu schutzbedürftigen Betroffenen,
- Datenverarbeitung in großem Umfang (Datenmenge, Anzahl der Betroffenen),
- Systematische Überwachung,
- Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen,
- Bewerten oder Einstufen (Scoring),
- Abgleichen oder Zusammenführen von Datensätzen,
- Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung,
- Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert,
Eine nähere Erläuterung, wie die genannten Kriterien zu bewerten sind, ist in den Leitlinien zur Datenschutz-Folgeabschätzung ab Seite 10 zu finden. Sind zwei dieser Kriterien erfüllt, ist in der Regel eine Datenschutz-Folgenabschätzung durchzuführen. Aber selbst wenn nur eines der dort genannten Kriterien erfüllt ist, kann ein hohes Risiko für die Betroffenenrechte bestehen. Daher ist es wichtig, einen genauen Überblick über die jeweilige Verarbeitungstätigkeit sowie die getroffenen Schutzmaßnahmen zu haben. Ein aktuelles Verzeichnis der Verarbeitungstätigkeiten kann hierfür eine gute Grundlage sein.
zurück zum Newsletter Datenschutz
weiter zum Beitrag "MUSS-Listen für die Datzenschutz-Folgeabschätzung"
