Liste von Ausnahmen von Folgeabschätzung liegt vor.
Das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) rückt näher, ab 25. Mai gilt sie EU-weit. Auf Unternehmen kommen neue Verpflichtungen zu, z. B. die Führung eines Verarbeitungsregisters und unter bestimmten Voraussetzungen die Pflicht zu einer Datenschutz-Folgenabschätzung. Was Letzteres betrifft, gibt es nun einen ersten Lichtblick für die Firmen: Ein Entwurf der Datenschutzbehörde für eine „White List“ liegt vor. Diese enthält Verarbeitungsvorgänge, für die keine Folgenabschätzung nötig sein soll. Bis 20. April können z. B. Berufsverbände dazu Stellung nehmen. „Diese Chance sollte man nützen“, empfiehlt Anna Mertinz, Datenschutzexpertin in der Kanzlei KWR.
Laut der Juristin ist eine Folgenabschätzung unter anderem nötig, wenn eine umfangreiche Verarbeitung sensibler Daten (z. B. Gesundheitsdaten) erfolgt oder persönliche Bewertungsprofile erstellt werden, auf denen Entscheidungen basieren, die für Menschen Rechtswirkungen haben oder zu Beeinträchtigungen führen.
Schwarze Liste kommt noch
Die Ausnahmen beruhen auf den derzeitigen Standard- und Musteranwendungen. Was jetzt noch fehlt, ist die „schwarze Liste“ jener Fälle, in denen zwingend eine Folgenabschätzung vorzunehmen ist. Diese Liste muss die Behörde erstellen, jene der Ausnahmen ist quasi eine freiwillige Draufgabe.
Muss man nun befürchten, dass alles, was nicht im White-List-Entwurf steht, auf der schwarzen Liste landet? Nein, sagt Mertinz, „das wäre desaströs“. Denkbar wäre aus ihrer Sicht, dass sich dort die jetzt genehmigungspflichtigen Vorgänge finden werden. Im Graubereich dazwischen muss man im Einzelfall prüfen. Auf noch etwas weist die Juristin hin: Für alles, was jetzt noch nach den alten Regeln registriert wird, braucht man keine Folgenabschätzung. Zu beachten sei aber, dass das nicht mehr gilt, sobald dabei eine Änderung vorgenommen wird. (cka)