Wir haben eine EU.
Wir haben eine DSGVO.
Die Risiken, die sich aus der Verarbeitung der personenbezogenen Daten ergeben, sollten für alle natürlichen Personen gleich sein.
Aber wir werden mindestens 22 black lists für Datenschutz-Folgenabschätzungen in der EU haben. .
Harmonisierung im Datenschutz sieht anders aus!
Bei der dritten plenary session des Europäischen Datenschutz Ausschusses wurde eine Einigung über die Datenschutz-Folgenabschätzungslisten (black lists iSd Art 35 Abs 4 DSGVO erhalten. In den unterschiedlichen Ländern sind daher unterschiedliche Standards für die Beurteilung, ob eine DSFA durchzuführen ist, zu beachten. Der Koordinationsaufwand für Unternehmen, die in mehreren EU-Staaten tätig sind, steigt.
Hier ein Auszug aus der Pressemitteilung des EDSA vom 26.09.2018:
DPIA Lists
The EDPB reached an agreement on and adopted the 22 opinions establishing common criteria for Data Protection Impact Assessment (DPIA) lists. These lists form an important tool for the consistent application of the GDPR across the EU. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. To help clarify the types of processing which could require a DPIA, the GDPR calls for the national supervisory authorities to create and publish lists of types of operations that are likely to result in a high risk. The Board received 22 national lists with an overall of 260 different types of processing. The EDPB Chair, Andrea Jelinek said: “It has been an enormous task for the members of the Board as well as the EDPB Secretariat to examine all of these lists and to establish common criteria on what triggers a DPIA and what not. It was an excellent opportunity for the EDPB to test the possibilities and challenges of consistency in practice. The GDPR does not require full harmonisation or an 'EU list', but does require more consistency, which we have achieved in these 22 opinions by agreeing on a common view.”
The 22 opinions on the DPIA lists result from art 35.4 and art. 35.6 GDPR and are in line with earlier guidance established by the Article 29 Working Party.
Es werden daher 22 DSFA-Listen (white und black) und es werden 260 unterschiedliche Verarbeitungstätigkeiten sein.
Wir werden Sie auf dem Laufenden halten, ob sich für Österreich etwas am bereits bekannten Entwurf der DSFA-V ändert. oder nicht.
Den Text der DSFA-AV (Datenschutz-Folgenabschätzung Ausnahmeverordung) der Östereichischen Datenschutzbehörde und die erläuternden Bemerkungen finden Sie zum Download hier.
Die bisherige Ansicht des EDSA (noch als Art 29 DS-Gruppe) zu Datenschutz-Folgenabschätzung finden Sie hier.
Kommentar schreiben