Überarbeitete Fassung der Guidelines zur DSFA von der Art-29-Gruppe veröffentlicht

Anfang Oktober 2018 hat die Artikel-29-Arbeitsgruppe eine Überarbeitung ihres WP 248 veröffentlicht. Gegenüber der Fassung aus dem April wurden einige Änderungen vorgenommen. So sind jetzt neben den Frameworks aus Deutschland, Frankreich und Großbritannien auch noch der neue  ISO-Standard und ein Vorschlag der spanischen Aufsichtsbehörde aufgeführt.Die größten Änderungen gab es wohl beim Kriterienkatalog zur Erkennung eines „Voraussichtlich hohen Risikos“, die die Pflicht zur Durchführung einer DSFA nach sich zieht. Diese Liste wurde von 10 auf 9 verkürzt (Datentransfer in nicht-EU Länder oder zu Internat. Org. fällt weg). Auch die viel kritisierte Schwelle zwei erfüllte Kriterien würden für ein hohes Risiko sprechen wurde geändert.  Mit konkreten Beispielen, wann eine Datenschutz-Folgenabschätzung durchzuführen sein soll und wann nicht, bietet das WP zwar konkrete Vorgaben, insgesamt wird die Rechtsunsicherheit dadurch aber nicht wesentlich beseitigt werden.

Es finden sich nun auch wesentlich klarere Angaben zum Umgang mit bereits vor dem 25. Mai. 2018 bestehenden Datenverarbeitungen. Bei diesen (sofern ein voraussichtlich hohes Risiko vorliegt) muss eine DSFA nur dann nicht erfolgen, wenn die Verarbeitung bereits im Rahmen der Vorabkontrolle durch Aufsichtsbehörde geprüft worden ist und wenn seit dieser Prüfung keine Veränderung in der Verarbeitung und ihrem Kontext stattgefunden hat.

Link zur Seite mit allen Guidelines: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083