DSFA-Liste der deutschen Aufsichtsbehörde
Die Konferenz der Datenschutzbeauftragten hat eine schwarze Liste von Verarbeitungstätigkeiten veröffentlicht, für die eine DPIA vorgeschrieben ist. Die detaillierte Liste enthält zum Beispiel:
- Bewertung oder Bewertung, einschließlich Profilerstellung und Vorhersage (Verhaltensanalyse) zu Zwecken, die negative rechtliche, physische, finanzielle oder andere Auswirkungen auf eine natürliche Person haben können
- Erhebung personenbezogener Daten über Schnittstellen persönlicher elektronischer Geräte, die nicht vor unbefugtem Zugriff geschützt sind und von den Betroffenen nicht erkannt werden können (NFC-Payment)
- Verwendung künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Kontrolle der Interaktion mit der betroffenen Person oder zur Bewertung personenbezogener Aspekte der betroffenen Person
Betrugspräventionssysteme
Die obligatorische Liste enthält auch Aktivitäten im Beschäftigungskontext, zum Beispiel:
- Überwachung der Arbeitsaktivitäten wie Postverkehr und Internetnutzung
- Geolokalisierung von Mitarbeitern
Die vollständige Liste ist verfügbar unter: https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf
Richtlinien der Aufsichtsbehörde
Ein Kurzreferat zur DSFA finden Sie unter: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf
Ein Beispiel für die Durchführung einer DSFA ist veröffentlicht: https://www.datenschutzzentrum.de/uploads/datenschutzfolgenabschaetzung/20171106-Planspiel-Datenschutz-Folgenabschaetzung.pdf
