Schwellwertanalyse
Die Datenschutzgrundverordnung hat mit der Datenschutzfolgenabschätzung (DSFA) ein neues Instrument zum
Umgang mit Hochrisikoverarbeitungen personenbezogener Daten eingeführt. Diese ist nach Art. 35 Abs. 1 DSGVO dann durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und
Freiheiten natürlicher Personen zur Folge hat. Damit besteht eine Datenschutzfolgenabschätzung bei Blick auf
eine Verarbeitung nach Art. 30 Abs. 1 DS-GVO (Verzeichnis der Verarbeitungstätigkeiten - VVT) aus zwei Schritten:
1. Prüfung, ob für einen Eintrag des VVT eine Datenschutzfolgenabschätzung durchgeführt werden muss.
Dies nennt sich auch Schwellwertanalyse.
2. Hat die Schwellwertanalyse ein voraussichtlich hohes Risiko ergeben, dann muss eine DSFA durchgeführt
werden.
Bei der Durchführung einer Schwellwertanalyse ist in der Regel folgendes Vorgehen angebracht:
1. Prüfung, ob der Eintrag des VVT in die Beispiele des Art. 35 Abs. 3 DS-GVO fällt.
2. Falls nicht, Prüfung on der Eintrag des VVT in die sog. Muss-Liste zur DSFA der DSK fällt (Link siehe unten).
3. Falls nicht, Prüfung ob der Eintrag des VVT im Regelwerk des WP248 mindestens in zwei Kategorien eingeordnet werden kann. Bei innovativen Technologien kann auch nur ein Eintrag ausreichend sein.
4. Falls nicht, Prüfung ob angedachte technische und organisatorische Maßnahmen für einen Eintrag des
VVT eine wirksame Risikoeindämmung im Sinne der Rechenschaftspflicht nach Art. 5 DS-GVO plausibel
erscheinen lassen.
5. Sollten die oben genannten Punkt 1-4 nicht zu einem voraussichtlich hohen Risiko führen, dann sehen wir
(in dieser Prüfung) keine Datenschutzfolgenabschätzung als erforderlich an.
Das Bayerisches Landesamt für Datenschutzaufsicht stellt zu diesem Thema verschiedene Informationen bereit.
<
https://www.lda.bayern.de/de/kontrollen_stabsstelle.html>