Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Ähnliche Dokumente
Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Vorläufige Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Vorläufige Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Artikel 35 Absatz 4 Datenschutz-Grundverordnung

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO

Verarbeitungsvorgängen Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Datenschutz- Folgenabschätzung

3. Verarbeitungszwecke und Rechtsgrundlagen (Art. 13/14 Abs. 1 c) DSGVO) 4. Berechtigte Interessen (Art. 13 Abs. 1 d)/14 Abs.

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Keine Angst vor der Datenschutz- Folgenabschätzung

Datenschutz Folgenabschätzung (DSFA)

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Countdown zur EU-Datenschutz-Grundverordnung: Best Practices aus zahlreichen Umsetzungsprojekten

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Datenschutz- Folgenabschätzung

EU Datenschutz-Grundverordnung. Datenschutz-Folgenabschätzung Privacy Impact Assessment

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

Abfrage zum Stand der Umsetzung der Datenschutz-Grundverordnung EU 2016/679 (DS-GVO) bei niedersächsischen Kommunen

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Die Datenschutzgrundverordnung

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Datenschutz im Bewerbungsverfahren Möglichkeiten und Grenzen moderner Personalbeschaffung

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

123 Tage DSGVO Wo drückt bei Hochschulen und Forschungseinrichtungen noch am meisten der Schuh?

Checkliste zur Datenschutzgrundverordnung

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

EU-Datenschutz-Grundverordnung: Start

Information gemäß Art. 13 der Datenschutz-Grundverordnung für meldepflichtige Personen


Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

DATENSCHUTZ in der Praxis

HPC und EU-DSGVO. Konzenquenzen der neuen EU-Datenschutzgrundverordnung für den Betrieb von HPC-Systemen. Dr. Loris Bennett, FU Berlin

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

Verantwortliche für die Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist das

L 127/2 Amtsblatt der Europäischen Union

- Wa s i s t j e t z t z u t u n? -

Kurzüberblick und Zeitplan

EU Datenschutz-Grundverordnung

Informationen zur Datenverarbeitung für meldepflichtige Personen

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist

Anspruch und Wirklichkeit des Datenschutzrechts

Datenschutzgrundverordnung

Datenschutz und Datenübertragbarkeit

Beschluss der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland. Liste von Verarbeitungsvorgängen nach 35 Abs.

EU-Datenschutz- Grundverordnung

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG) Hessisches Datenschutz- und Informationsfreiheitsgesetz (HDSIG)

Information zur Verarbeitung personenbezogener Daten durch die Stadt Guben im Zusammenhang mit folgender Serviceleistung:

Für die Kindertagesstätte Murmeltiere in der Helmut-Schmidt-Allee 10 A, Bernau. als: Seite 1 von 2

Die Europäische Datenschutz- Grundverordnung. Schulung am

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung

Dienstleister im Sozialbereich; Grosse Anwaltskanzleien oder Treuhänder. Verarbeitung unter Einsatz systematischer neuer/innovativer

Datenschutzinformation an Dritte nach Artikel 13, 14 und 21 der Datenschutzgrundverordnung

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Datenschutzhinweise gemäß EU Datenschutz-Grundverordnung. 1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Leitfaden. Der Bayerische Landesbeauftragte für den Datenschutz. Bayerisches Landesamt für Datenschutzaufsicht. und

Datenschutz-Folgenabschätzung

Welche Verarbeitungstätigkeiten sind in das Verzeichnis aufzunehmen?

Informationen zur Verarbeitung personenbezogener Daten gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

BVD-Verbandstage 2018 Datenschutzbeauftragte unter der DS-GVO. Berlin, 26. April 2018, Katja Horlbeck (Der Hessische Datenschutzbeauftragte)

DATENSCHUTZGRUPPE NACH ARTIKEL 29

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Anwendungsbeispiel für ein Verzeichnis von Verarbeitungstätigkeiten 1 gem. Art. 30 DS-GVO

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Gesetz zur Ausführung des Zwölften Buches Sozialgesetzbuch

Ein neues Instrument aus der DS-GVO

Transkript:

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von Verantwortlichen im öffentlichen Bereich durchzuführen ist. Stand: 25.05.2018 Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Stahnsdorfer Damm 77 14532 Kleinmachnow Tel.: 033203 356-0 Fax 033203 356-49 E-Mail: Poststelle@LDA.Brandenburg.de Internet: http://www.lda.brandenburg.de Fingerprint: E899 5780 7F65 F282 8CAC C504 37F3 83FE 0844 834D

Diese Liste von Verarbeitungsvorgängen ( Muss-Liste ) wird verantwortet von der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg. Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Dagmar Hartge Stahnsdorfer Damm 77 14532 Kleinmachnow Telefon: 033203 356-0 Telefax: 033203 356-49 E-Mail: Poststelle@LDA.Brandenburg.de Seite 2

A Gesetzliche Grundlage Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (EU-Datenschutz-Grundverordnung DS-GVO) regelt im Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsultation des Kapitels IV Verantwortlicher und Auftragverarbeiter die Rahmenbedingungen zur sog. Datenschutz-Folgenabschätzung (kurz: DSFA; im Englischen Data Protection Impact Assessment oder DPIA). Artikel 35 DS-GVO nennt dabei die Grundsätze, bei welchen Fällen eine DSFA durchzuführen ist und was diese enthält. Artikel 36 DS-GVO beschreibt das besondere Verfahren der Konsultation des Verantwortlichen bei der Aufsichtsbehörde bei Fortbestehen hoher Risiken auch nach Anwendung der auf Grundlage der DSFA festgelegten verhältnismäßigen technischen und organisatorischen Maßnahmen. Grundlage dieses Dokuments ist Art. 35 Abs. 4 DS-GVO: Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. Die vorliegende Liste beinhaltet ausschließlich Verarbeitungsvorgänge aus dem öffentlichen Bereich, die nicht mit dem Angebot von Waren und Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens von natürlichen Personen in mehreren Mitgliedsstaaten verbunden sind. Sie unterliegt daher aufgrund von Art. 35 Abs. 6 DSGVO nicht dem Kohärenzverfahren gemäß Art. 63 DSGVO. Öffentliche Stellen müssen neben dieser Liste auch die allgemeine Liste von Verarbeitungsvorgängen beachten, für die gemäß Art. 35 Abs. 1 DS-GVO eine Datenschutz-Folgenabschätzung von Verantwortlichen sowohl im öffentlichen als auch im nicht-öffentlichen Bereich durchzuführen ist Führt ein Verantwortlicher Verarbeitungsvorgänge aus, die in Art. 35 Abs. 3 DS-GVO oder der vorliegenden Liste aufgeführt sind, ohne vorab eine DSFA durchgeführt zu haben, so kann die zuständige Aufsichtsbehörde wegen Verstoßes gegen Art. 35 Abs. 1 DS-GVO von ihren Abhilfebefugnissen gemäß Art. 58 Abs. 2 DS-GVO Gebrauch machen. Gegen einen derartigen Beschluss der Aufsichtsbehörde steht der Rechtsweg gemäß Art. 78 DSGVO offen. Die in dem Dokument dargestellte Liste wird nachfolgend als Muss-Liste bezeichnet gängige Begriffe in anderen Ländern sind hierfür auch Blacklist und Positivliste. Seite 3

B Ziel dieses Dokuments Ziel des Dokuments ist es, einen Entwurf für die Liste nach Art. 35 Abs. 4 DS-GVO zu entwickeln, der auch auf europäischer Ebene diskutiert werden kann, sofern die Bedingungen hierzu erfüllt sind. Berücksichtigt werden bisherige Veröffentlichungen von anderen Aufsichtsbehörden und Fachgremien, insbesondere das Working Paper 248 rev.01 Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 wahrscheinlich ein hohes Risiko mit sich bringt der Art. 29 Datenschutzgruppe sowie die umfangreichen internen Kommentierungen im Rahmen der UAG DSFA. Das Dokument hat nicht den Anspruch der Vollständigkeit, wenngleich versucht wird, möglichst viele der DSFApflichtigen Verarbeitungsvorgänge zu berücksichtigen. Auf Grund der Schnelllebigkeit im digitalen Umfeld kann dieses Dokument nur als lebendiges Papier angesehen werden, das ständigen Änderungskontrollen hinsichtlich der Aufnahme neuer Verarbeitungen in die Liste der Verarbeitungsvorgänge unterliegt. Vorgesehen ist auch eine Abstimmung über die Inhalte der Liste unter den unabhängigen Aufsichtsbehörden des Bundes und der Länder, die sich in der Datenschutzkonferenz (DSK) zusammengeschlossen haben. Die DSK wird hierfür einen Prozess erarbeiten, wie Verarbeitungstätigkeiten für die Muss-Liste vorgeschlagen, beurteilt und aufgenommen werden. Änderungen an Einträgen der Muss-Liste werden dokumentiert, so dass die Muss-Liste eine entsprechende Versionshistorie erhalten wird. Wichtiger Hinweis: Wird die Verarbeitungstätigkeit eines Verantwortlichen in der vorliegenden Liste nicht aufgeführt, so ist hieraus nicht der Schluss zu ziehen, dass keine DSFA durchzuführen wäre. Stattdessen ist es Aufgabe des Verantwortlichen, im Wege einer Vorabprüfung einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Art. 35 Abs. 1 Satz 1 DS-GVO erfüllt. Zum Begriff des Risikos wird auf die Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 wahrscheinlich ein hohes Risiko mit sich bringt (WP 248 Rev. 01 17/DE angenommen am 4. April 2017, zuletzt überarbeitet und angenommen am 4. Oktober 2017) der Art. 29 Datenschutzgruppe und das Kurzpapier Nr. 18 Risiken für die Rechte und Freiheiten natürlicher Personen der DSK verwiesen. Seite 4

C Liste nach Art. 35 Abs. 4 DS-GVO Maßgebliche Kriterien zur Einordnung von Verarbeitungsvorgängen sind in der Leitlinie in WP 248 der Art. 29 Gruppe ab Seite 10 ff. wie folgt zu entnehmen: 1. Bewerten oder Einstufen (Scoring) ( Evaluation or scoring ) 2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung ( Automated-decision making with legal or similar significant effect ) 3. Systematische Überwachung ( Systematic monitoring ) 4. Vertrauliche oder höchst persönliche Daten ( Sensitive data or data of a highly personal nature ) 5. Datenverarbeitung in großem Umfang ( Data processed on a large scale ) 6. Abgleichen oder Zusammenführen von Datensätzen ( Matching or combining datasets ) 7. Daten zu schutzbedürftigen Betroffenen ( Data concerning vulnerable data subjects ) 8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen ( Innovative use or applying new technological or organisational solutions ) 9. Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert ( When the processing in itself prevents data subjects from exercising a right or using a service or a contract ) Erfüllt ein Verarbeitungsvorgang zwei oder mehr dieser Kriterien, so ist vielfach ein hohes Risiko gegeben und eine DSFA durch den Verantwortlichen durchzuführen. In wenigen Einzelfällen mag es jedoch auch vorkommen, dass nur eines der genannten Kriterien erfüllt wird und dennoch auf Grund eines hohen Risikos des Verarbeitungsvorgangs eine DSFA notwendig wird. Das Ergebnis der Vorabprüfung und die zugrunde gelegten Einschätzungen der im Zuge der Verarbeitungstätigkeit möglicherweise auftretenden Schäden sowie die resultierende Schwere und Eintrittswahrscheinlichkeit der Risiken sind zu dokumentieren. Seite 5

Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist Nr. Maßgebliche Beschreibung der Verarbeitungstätigkeit 1 Umfangreiche Erhebung und Verarbeitung von personenbezogenen Daten im Rahmen der Kinder- und Jugendhilfe insbesondere der Beratung und Beantragung von Hilfen zur Erziehung, Eingliederungshilfe für seelisch behinderte Kinder und Jugendliche und Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts, Förderung von Kindern in Kindertagesbetreuung, Hilfe für Junge Volljährig sowie bei der Beratung und Unterstützung bei der Ausübung der Personensorge und des Umgangsrechts. 2 Umfangreiche Erhebung von Verarbeitung von personenbezogenen Daten für die Aufgaben der Jobcenter insbesondere die Leistungsgewährung zur Sicherung des Lebensunterhalts, Leistungen der Unterkunft und Heizung. Leistungsrecht und die Vermittlung in Arbeit inkl. Eingliederungsleistungen und auch kommunale Leistungen wie Suchtberatung oder Schuldnerberatung. 3 Umfangreiche Erhebung und Verarbeitung von personenbezogenen Daten im Zuge der Beantragung von Sozialhilfe, insbesondere als Grundsicherung im Alter oder bei voller Erwerbsminderung und bei Hilfen zur Gesundheit, bei Eingliederungshilfen für behinderte Menschen, Hilfe zur Pflege, Hilfe zur Überwindung besonderer sozialer Schwierigkeiten und die Hilfe in anderen Lebenslagen. 4 Verarbeitung der Meldedaten, Melderegister und Spiegelregister von Kommunen und bei landesweiten Verfahren. 5 Verfahren zur Führung von Personenstandsregistern von Kommunen und bei landesweiten Verfahren. 6 Verarbeitung von Personalausweis- und Passanträgen sowie der jeweiligen Register bei Kommunen und bei landesweiten Verfahren. 7 Umfangreiche Verarbeitung personenbezogener Daten im Rahmen der amtlichen Statistik, deren Erhebung, Speicherung und Verarbeitung, insbesondere der Anonymisierungsprozesse sowie deren Anonymisierung und statistische Aufbereitung vor/für die Übermittlung der Informationen an Dritte. Seite 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback