Die deutschen Aufsichtsbehörden haben die Listen nach Art. 35 Abs. 4 DSGVO zu erstellen (s.u.), also die Listen in denen Verarbeitungstätigkeiten aufgeführt sind, bei denen eine Datenschutz-Folgenabschätzung (DS-FA) zwingend durchzuführen ist. Dabei wird unterschieden zwischen einer bundesweit einheitlichen Liste für den nichtöffentlichen Bereich und den Listen für den öffentlichen Bereich. Die einzelnen Datenschutz-Aufsichtsbehörden haben für den öffentlichen Bereich jeweils eigenständige Rote-Listen herausgegeben, die für die Behörden und anderen öffentlichen Stellen gelten, für die die jeweilige Datenschutz-Aufsichtsbehörde zuständig ist.
Ich nenne diese Listen „Rote Listen“, da hier – wie bei einer roten Ampel – erst einmal ein Stopp erforderlich ist, die DS-FA durchzuführen ist und erst bei einem positiven Ergebnis der DS-FA mit der Datenverarbeitung begonnen werden darf. Andere Bezeichnungen sind Positiv-Listen, Muss-Listen (veraltet auch: Schwarze Listen oder Black lists). „Grüne Listen“, also die Listen nach Art. 35 Abs. 5 DSGVO, bei denen eine DS-FA nicht durchgeführt werden muss, wollen die deutschen Datenschutz-Aufsichtsbehörden im Gegensatz zur österreichischen Datenschutzaufsichtsbehörde nach inoffiziellen Aussagen nicht veröffentlichen. Diese Grünen Listen werden auch Negativ-Listen (veraltet auch: Weiße Listen oder White lists) genannt. Grüne Liste finde ich hier auch passend, weil – wie bei einer grünen Ampel – zwar kein Stopp sondern nur eine gewisse Vorsicht erforderlich ist. Und bei Gelb ist immer ein genaueres Hinschauen erforderlich.
Liste der Datenschutz-Aufsichtsbehörden des Bundes und der Bundesländer nach Art. 35 Abs. 4 DSGVO – Rote Liste für den nichtöffentlichen Bereich (Unternehmen, Vereine, Stiftungen, etc.)
2018 hat sich die Deutsche Datenschutzkonferenz (DSK, das sind die staatlichen Aufsichtsbehörden in Deutschland) doch noch auf eine einheitliche Liste für den nichtöffentlichen Bereich geeinigt (vgl. Meldung des BfDI) und diese beim Europäischen Datenschutz-Ausschuss (EDSA) eingereicht. Nach Abschluss des Kohärenzverfahrens im EDSA wird diese Liste verbindlich. Durch das Kohärenzverfahren können sich allerdings noch Änderungen ergeben. Inzwischen gibt es die Version 1.1 dieser Liste:
- Deutschsprachig: 20181017_ah_DSK_DSFA_Muss-Liste_Version_1.1_Deutsch.pdf
- Englischsprachig: 20181017_ah_DPIA_list_1_1__Germany_EN.pdf
Listen der Datenschutz-Aufsichtsbehörden des Bundes und der Bundesländer für den öffentlichen Bereich
Die Listen sind alphabetisch nach den Bundesländern sortiert.
- Baden-Württemberg: Website – noch keine Liste für den öffentlichen Bereich bekannt
- Bayern: Website – noch keine Liste für den öffentlichen Bereich bekannt
- Berlin: noch keine Liste für den öffentlichen Bereich bekannt
- Brandenburg: Website – PDF-Datei (diese Liste gilt für den öffentlichen und nichtöffentlichen Bereich und zitiert die oben genannte Liste der DSK)
- Bremen: noch keine Liste für den öffentlichen Bereich bekannt
- Hamburg: Website – PDF-Datei
- Hessen: Website – PDF-Datei
- Mecklenburg-Vorpommern: Website – PDF-Datei
- Niedersachsen: Website – PDF-Datei
- Nordrhein-Westfalen: Website – PDF-Datei
- Rheinland-Pfalz: Website – PDF-Datei
- Saarland: Website – noch keine Liste für den öffentlichen Bereich bekannt
- Sachsen: Website – PDF-Datei
- Sachsen-Anhalt: Website – noch keine Liste für den öffentlichen Bereich bekannt
- Schleswig-Holstein: Website – noch keine Liste für den öffentlichen Bereich bekannt
- Thüringen: Website – PDF-Datei
Sollte einer der obigen Links nicht mehr funktionieren oder Sie bei einer deutschen Aufsichtsbehörde eine Liste finden, die oben noch nicht eingetragen ist, dann würde ich mich über eine E-Mail freuen.