"Whitelist" und "Blacklist" zur Datenschutz-Folgenabschätzung

Dieser Beitrag gibt einen Überblick über die Datenschutz-Folgenabschätzung-Verordnung und die Datenschutz-Folgenabschätzung-Ausnahmenverordnung der Datenschutzbehörde.

Art 35 DS-GVO regelt die Voraussetzungen, unter denen ein Verantwortlicher zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) verpflichtet ist: Dies ist nach Abs 1 dann der Fall, wenn eine Form der Verarbeitung, insb bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art 35 Abs 3 DS-GVO zählt beispielhaft drei Tatbestände auf, in denen jedenfalls eine DSFA vorzunehmen ist. Auch hier werden zahlreiche unbestimmte Rechtsbegriffe verwendet, die in den Begriffsbestimmungen der DS-GVO nicht definiert sind wie va "systematisch" und "umfangreich".¹