28. Mai 2018

Schwarze Liste nach Art 35 Abs 4 DSGVO

 

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Würtemberg hat 8-seitige Information zur Schwarzen Liste nach Art 35 Abs 4 DSGVO veröffentlicht.

 

Es geht um folgende Verarbeitungstätigkeiten:

 

1.       Umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DSGVO handelt   

 

2.       Umfangreiche Verarbeitung von Daten über den Aufenthalt von Personen

 

3.       Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Weiterverarbeitung der so zusammengeführten Daten, sofern       
• die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden, • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden,
• die Anwendung von Algorithmen einschließen, die für die Betroffenen nicht nachvollziehbar sind, und
• der Erzeugung von Datengrundlagen dienen, die dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen können

 

4.       Mobile und für die Betroffenen intransparente optoelektronische Erfassung öffentlicher Bereiche  

 

5.       Erfassung und Veröffentlichung von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von Personen dienen und von Dritten dazu genutzt werden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen             

 

6.       Verarbeitung von umfangreichen Angaben über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben, oder diese in andere Weise erheblich beeinträchtigen

 

7.       Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen 

 

8.       Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Weiterverarbeitung der so zusammengeführten Daten, sofern 
• die Zusammenführung oder Weiterverarbeitung in großem Umfang vorgenommen werden,  • für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei den Betroffenen erhoben wurden, 
• die Anwendung von Algorithmen einschließen, die für die Betroffenen nicht nachvollziehbar sind, und 
• der Entdeckung vorher unbekannter Zusammenhänge zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen       

 

9.       Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte der Betroffenen

 

10.   Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der Betroffenen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum                

 

11.   Automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit der Betroffenen     

 

12.   Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht gegen ein unbefugtes Auslesen geschützt sind, das die Betroffenen nicht erkennen können                

 

13.   Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen 

 

14.   Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DSGVO - auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern eine nicht einmalige Datenerhebung mittels Sensoren oder mobilen Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden. 

 

15.   Verarbeitung von Daten gemäß Art. 9 Abs. 1 und Art. 10 DSGVO - auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist - sofern die Daten mittels Sensoren erhoben, an einer zentralen Stelle verarbeitet und dazu verwendet werden, die Leistungsfähigkeit des Betroffenen zu bestimmen

 

 

 

In der Veröffentlichung wird ausdrücklich auch auf das WP 248 der Art 29 DS-Gruppe und die darin aufgestellten Kriterien zur Beurteilung verwiesen.

Download
Liste von Verarbeitungstätigkeiten gem Art 35 Abs 4 DSGVO
Liste-von-Verarbeitungsvorgängen-nach-Ar
Adobe Acrobat Dokument 571.2 KB
Download
Download
Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“
Art29-WP248-Leitlinie_DSFA.pdf
Adobe Acrobat Dokument 1.1 MB
Download
Tags: DSFA, hohes Risiko, schwarze Liste, Art 35 DSGVO, Datenschutzg-Folgenabschätzung

Kommentar schreiben

Kommentare: 0