Liste von Verarbeitungen, für die eine Datenschutz-folgenabschätzung obligatorisch ist

1. Verarbeitungsvorgänge, die genetische Daten gemäß der Definition in Artikel 4 (13) der DSGVO in Verbindung mit mindestens einem anderen Kriterium umfassen, das in den Leitlinien des Europäischen Datenschutzausschusses (im Folgenden: EDSB") aufgeführt ist,[1] mit Ausnahme von Angehörigen der Gesundheitsberufe, die Gesundheitsdienstleistungen erbringen
2. Verarbeitungsvorgänge, die biometrische Daten gemäß der Definition in Artikel 4 (14) der DSGVO zum Zweck der Identifizierung der betroffenen Person in Kombination mit mindestens einem anderen Kriterium der EDSB-Leitlinien umfassen;
3. Verarbeitungsvorgänge, die die Kombination, den Abgleich oder den Vergleich von personenbezogenen Daten beinhalten, die aus Verarbeitungsvorgängen mit unterschiedlichen Zwecken (von demselben oder von verschiedenen für die Verarbeitung Verantwortlichen) erhoben wurden - sofern sie Rechtswirkungen gegenüber der natürlichen Person entfalten oder eine erhebliche und ähnliche Auswirkung auf die natürliche Person haben;
4. Verarbeitungsvorgänge, die in einer regelmäßigen und systematischen Überwachung der Aktivitäten von Beschäftigten bestehen oder diese beinhalten - sofern sie Rechtswirkungen gegenüber den Beschäftigten entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen können;
5. Operationen zur Verarbeitung von Dateien, die personenbezogene Daten der gesamten nationalen Bevölkerung enthalten können, sofern eine solche DSFA nicht bereits im Rahmen einer allgemeinen Folgenabschätzung im Zusammenhang mit der Annahme dieser Rechtsgrundlage durchgeführt wurde;
6. Verarbeitungsvorgänge zu Zwecken der wissenschaftlichen oder historischen Forschung oder zu statistischen Zwecken im Sinne der Artikel 63 bis 65 des Gesetzes vom 1. August 2018 über die Organisation der Nationalen Datenschutzkommission und der allgemeinen Datenschutzregelung;
7. Verarbeitungsvorgänge, die in der systematischen Lokalisierung des Aufenthaltsortes natürlicher Personen bestehen;
8. Verarbeitungsvorgänge, die auf der indirekten Erhebung personenbezogener Daten in Verbindung mit mindestens einem anderen Kriterium der EDSB-Leitlinien beruhen, wenn es weder möglich / noch praktikabel ist, das Recht auf Information zu gewährleisten.

[1] Der Europäische Datenschutzausschuss hat diese Leitlinien seiner Vorgängerin, der Artikel-29-Datenschutzgruppe, am 25. Mai 2018 mit dem Dokument "Endorsement 1/2018" gebilligt.