Datenschutz-Folgenabschätzung (DS-FA) – Rote Listen der Datenschutz-Aufsichtsbehörden

Die deutschen Aufsichtsbehörden haben die Listen nach Art. 35 Abs. 4 DSGVO zu erstellen (s.u.), also die Listen in denen Verarbeitungstätigkeiten aufgeführt sind, bei denen eine Datenschutz-Folgenabschätzung (DS-FA) zwingend durchzuführen ist. Dabei wird unterschieden zwischen der Liste für den nichtöffentlichen Bereich und den Listen für den öffentlichen Bereich. Letztere werden von jeder Datenschutz-Aufsichtsbehörde eigenständig herausgegeben.

Ich nenne diese Listen „Rote Listen“, da hier – wie bei einer roten Ampel – erst einmal ein Stopp erforderlich ist, die DS-FA durchzuführen ist und dann mit der Datenverarbeitung begonnen werden darf. Andere Bezeichnungen sind Positiv-Listen, Muss-Listen, Schwarze Listen oder Black lists. „Grüne Listen“, also die Listen nach Art.  35 Abs. 5  DSGVO, bei denen eine DS-FA nicht durchgeführt werden muss, wollen die deutschen Datenschutz-Aufsichtsbehörden im Gegensatz zur österreichischen Datenschutzaufsichtsbehörde nach inoffiziellen Aussagen nicht veröffentlichen. Diese Grünen Listen werden auch Negativ-Listen, Weiße Listen oder White lists. Grüne Liste finde ich hier auch passend, weil – wie bei einer grünen Ampel – zwar kein Stopp sondern nur eine gewisse Vorsicht erforderlich ist. Und bei Gelb ist immer ein genaueres Hinschauen erforderlich.

Liste der Datenschutz-Aufsichtsbehörden des Bundes und der Bundesländer nach Art. 35 Abs. 4 DSGVO – Rote Liste für den nichtöffentlichen Bereich (Unternehmen, Vereine, Stiftungen, etc.)

Inzwischen hat sich die Deutsche Datenschutzkonferenz (DSK, das sind die staatlichen Aufsichtsbehörden in Deutschland) nun doch auf eine einheitliche Liste für den nichtöffentlichen Bereich geeinigt (vgl. Meldung der BfDI) und diese beim Europäischen Datenschutz-Ausschuss (EDSA) eingereicht. Nach Abschluss des Kohärenzverfahrens im EDSA wird diese Liste verbindlich. Durch das Kohärenzverfahren können sich allerdings noch Änderungen ergeben.

Listen der Datenschutz-Aufsichtsbehörden des Bundes und der Bundesländer für den öffentlichen Bereich

  • Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: WebsitePDF-Datei

Die Listen sind alphabetisch nach den Bundesländern sortiert.

  • Baden-Württemberg: Website – noch keine Liste für den öffentlichen Bereich bekannt
  • Bayern: Website – noch keine Liste für den öffentlichen Bereich bekannt
  • Berlin: noch keine Liste für den öffentlichen Bereich bekannt
  • Brandenburg: WebsitePDF-Datei (diese Liste gilt für den öffentlichen und nichtöffentlichen Bereich und zitiert die oben genannte Liste der DSK)
  • Bremen: noch keine Liste für den öffentlichen Bereich bekannt
  • Hamburg: WebsitePDF-Datei
  • Hessen: WebsitePDF-Datei
  • Mecklenburg-Vorpommern: WebsitePDF-Datei
  • Niedersachsen: WebsitePDF-Datei
  • Nordrhein-Westfalen: WebsitePDF-Datei
  • Rheinland-Pfalz: WebsitePDF-Datei
  • Saarland: Website – noch keine Liste für den öffentlichen Bereich bekannt
  • Sachsen: Website –  PDF-Datei
  • Sachsen-Anhalt: Website – noch keine Liste für den öffentlichen Bereich bekannt
  • Schleswig-Holstein: Website – noch keine Liste für den öffentlichen Bereich bekannt
  • Thüringen: WebsitePDF-Datei

Sollte einer der obigen Links nicht mehr funktionieren oder Sie bei einer deutschen Aufsichtsbehörde eine Liste finden, die oben noch nicht eingetragen ist, dann würde ich mich über eine E-Mail freuen.

Der Kurzlink für diese Seite ist: https://dsgvo.expert/DS-FA-ROT