Eine Datenschutzfolgenabschätzung ist dann zu machen, wenn nach erster Betrachtung davon auszugehen ist, dass das Risiko für die Betroffenen hoch ist. Also wenn systematisch Profiling betrieben wird (Banken, Versicherungen, etc…), es sich um sensible bzw. strafrechtliche Daten handelt (Krankenhäuser, Rechtsanwälte, Ärzte), systematische Videoüberwachung oder die Verarbeitung auf der „schwarzen Liste“ der Behörde steht.
Demnach gibt es auch eine „weiße Liste“. Für die dort angeführten Verarbeitungstätigkeiten benötigt man keine Folgenabschätzung. Diese beide Listen gibt es aktuell noch nicht – wird wohl der 25. Mai 2018 werden…
Es müssen auch bisher gemeldete Verarbeitungen (DVR) noch einmal bewertet werden und laufend geprüft werden außer es wurde von der Behörde tatsächlich schon mal positiv geprüft und es hat sich seit dem nichts geändert (ist im DVR-Online ersichtlich).
29, 35 DSGVO
18 DSG
Links:
Erklärung zur Folgenabschätzung