Datenschutz-Folgenabschätzung (DSFA) nach deutschem Recht

DSFA-Liste der deutschen Aufsichtsbehörde

Die Konferenz der Datenschutzbeauftragten hat eine schwarze Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DPIA vorgeschrieben ist. Die detaillierte Liste enthält zum Beispiel:

  • Bewertung oder Bewertung, einschließlich Profilerstellung und Vorhersage (Verhaltensanalyse) zu Zwecken, die negative rechtliche, physische, finanzielle oder andere Auswirkungen auf eine natürliche Person haben können
  • Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht vor unbefugtem Zugriff geschützt sind und von den Betroffenen nicht erkannt werden können (NFC-Payment)
  • Verwendung künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Kontrolle der Interaktion mit der betroffenen Person oder zur Bewertung personenbezogener Aspekte der betroffenen Person

Betrugspräventionssysteme

Die obligatorische Liste enthält auch Aktivitäten im Beschäftigungskontext, zum Beispiel:

  • Überwachung der Arbeitsaktivitäten wie Postverkehr und Internetnutzung
  • Geolokalisierung von Mitarbeitern

Die vollständige Liste ist verfügbar unter: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf

Richtlinien der Aufsichtsbehörde

Ein Kurzreferat zur DSFA finden Sie unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf

Ein Beispiel für die Durchführung einer DSFA ist veröffentlicht: https://www.datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20171106-Planspiel-Datenschutz-Folgenabschaetzung.pdf