Entsprechend Art. 35 Abs. 1 S. 1 DSGVO kann die Verpflichtung bestehen, eine sogenannte „Datenschutz-Folgenabschätzung“ vorzunehmen: Diese Verpflichtung besteht, wenn eine durchgeführte Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Alleine die Verarbeitung von Daten im Sinne des Art. 9 Abs. 1 DSGVO an sich führt aber noch nicht zu einem solchen hohen Risiko:
Das ergibt sich aus Erwägungsgrund 91 und aus der Systematik des Art. 35 DSGVO. Art. 35 Abs. 3 Buchst. b) DSGVO verlangt für die Verpflichtung zur Datenschutz-Folgenabschätzung eine „umfangreiche“ Verarbeitung von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO.
Landesarbeitsgericht Hamm, 18 Sa 271/22
Die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung kann sich darüber hinaus ergeben aus:
- Art. 35 Abs. 3 DSGVO: Wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Art. 35 Abs. 3 Buchst. a) DSGVO) erfolgt, oder eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 Buchst. c) DSGVO) vorliegt. Ebenso wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO durchgeführt wird;
- Art. 35 Abs. 4 S. 1 i.V.m. Abs. 1 S. 1 DSGVO
Hinweis: Die sogenannte Positivliste der Datenschutzkonferenz enthält keine Verarbeitungstätigkeiten, die mit der Verarbeitung von Personal- und Kundendaten vergleichbar ist.
- Die globalen Risiken 2025 im Bericht des Weltwirtschaftsforums - 23. Januar 2025
- D&O-Versicherung und das automatische Vertragsende bei Insolvenz - 23. Januar 2025
- Sozialversicherungsbeiträge im Wirtschaftsstrafrecht - 23. Januar 2025