Die Datenschutzkonferenz (DSK) hat eine Positivliste für die Datenschutz-Folgeabschätzung veröffentlicht (Download PDF) und bietet damit betroffenen Unternehmen brauchbare Hinweise, wann eine solche Abwägung durchzuführen ist.
Das Instrument der Datenschutz-Folgeabschätzung ist mit der DSGVO zum 25.05.2018 eingeführt worden (Art. 35 Abs. 1 DSGVO). Die Norm lautet:
Art. 35 DSGVO Datenschutz-Folgenabschätzung
"(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden."
Es handelt sich dabei um die Quasi-Nachfolgeregelung zu § 4d Abs.5 BDSG a.F.
Die DSK listet nun 16 Beispiele auf, in denen ihrer Ansicht nach eine Datenschutz-Folgeabschätzung vorzunehmen ist. Die Liste ist nicht abschließend zu vernehmen, sondern jeder Einzelfall ist konkret zu prüfen.
Als Beispiel werden angeführt:
1. Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen (z.B. Betreiber von Privatinsolvenz-Verzeichnisses, Träger von großen sozialen Einrichtungen.
2. Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen (z.B. Car-Sharing-Dienste, besondere mobile Dienste)
3. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern
a) die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden,
b) für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
c) die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
d) der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können (z.B. Scoring durch Auskunfteien, Banken oder Versicherungen)4. Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen (z.B. Betrieb von Dating- und Kontaktportalen, Soziale Netzwerke)
5. Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern
a) die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden,
b) für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
c) die Anwendung von Algorithmen einschließen, die für die betroffenen Personen nicht nachvollziehbar sind, und
d) der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen6. Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen
7. Verarbeitung von besonderen personenbezogenen Daten nach Art. 9 und 10 DSGVO (z.B. Fitness-Tracking)
8. Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen (z.B. Auswertung Kundenkarten)
Die Darstellung entspricht weitgehend den Punkten, die zuvor bereits einzelne Bundesländer veröffentlicht hatten.