Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei risikoreichen Verarbeitungen verpflichtend. Erfahren Sie, wann sie greift, wie der Prozess strukturiert wird und welche Fehler Sie vermeiden sollten.
Datenschutz-Folgenabschätzung: Wann ist sie Pflicht?
Kaum ein Instrument der DSGVO sorgt in der Praxis für so viel Unsicherheit wie die Datenschutz-Folgenabschätzung (DSFA). Viele Unternehmen wissen zwar, dass es sie gibt, doch die Frage, wann genau eine DSFA durchzuführen ist und wie sie konkret aussehen muss, bleibt häufig unbeantwortet. Dabei drohen bei Verstößen empfindliche Bußgelder. Dieser Beitrag gibt Ihnen einen praxisorientierten Leitfaden an die Hand, mit dem Sie die Pflicht zur DSFA richtig einordnen und den Prozess effizient gestalten können.
Rechtsgrundlage: Art. 35 DSGVO im Überblick
Die Datenschutz-Folgenabschätzung ist in Art. 35 der Datenschutz-Grundverordnung (DSGVO) geregelt. Nach Absatz 1 ist eine DSFA immer dann durchzuführen, wenn eine Form der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dabei ist insbesondere der Einsatz neuer Technologien zu berücksichtigen.
Die DSFA ist kein einmaliger Vorgang, sondern ein fortlaufender Prozess. Ändern sich die Umstände der Verarbeitung, muss die bestehende DSFA überprüft und gegebenenfalls aktualisiert werden.
Abgrenzung zur allgemeinen Risikoanalyse
Wichtig ist die Unterscheidung: Die DSFA geht über die allgemeine Risikobetrachtung hinaus, die Sie ohnehin im Rahmen Ihres Datenschutzmanagements durchführen sollten. Während die allgemeine Risikoanalyse alle Verarbeitungstätigkeiten betrifft, greift die DSFA nur bei Verarbeitungen mit voraussichtlich hohem Risiko. Sie ist sozusagen die vertiefte Prüfung für besonders kritische Datenverarbeitungen.
Wann ist eine DSFA verpflichtend?
Die drei Regelbeispiele des Art. 35 Abs. 3 DSGVO
Der Gesetzgeber nennt in Art. 35 Abs. 3 DSGVO drei Fallgruppen, in denen eine DSFA insbesondere erforderlich ist:
- Systematische und umfassende Bewertung persönlicher Aspekte (Profiling): Hierunter fallen automatisierte Verarbeitungen einschließlich Profiling, auf deren Grundlage Entscheidungen getroffen werden, die gegenüber natürlichen Personen rechtliche Wirkung entfalten oder sie in ähnlich erheblicher Weise beeinträchtigen.
- Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten: Werden Gesundheitsdaten, biometrische Daten, Daten zur politischen Meinung oder andere sensible Daten nach Art. 9 DSGVO in großem Umfang verarbeitet, ist eine DSFA durchzuführen.
- Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche: Dies betrifft insbesondere Videoüberwachungsanlagen in öffentlich zugänglichen Räumen.
Die Blacklist der Aufsichtsbehörden
Neben den Regelbeispielen haben die deutschen Aufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO eine sogenannte Blacklist (auch: Muss-Liste) veröffentlicht. Diese Liste enthält konkrete Verarbeitungstätigkeiten, bei denen eine DSFA zwingend durchzuführen ist. Zu den dort genannten Fällen gehören unter anderem:
- Einsatz von Scoringverfahren zur Bewertung der Kreditwürdigkeit
- Umfangreiche Verarbeitung von Beschäftigtendaten zur Verhaltens- und Leistungskontrolle
- Erstellung umfassender Profile über Interessen, Aufenthaltsorte oder Bewegungen natürlicher Personen
- Zusammenführung personenbezogener Daten aus verschiedenen Quellen (Data Warehousing)
- Einsatz von Künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit Betroffenen
- Verarbeitung von Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
Die Blacklist ist nicht abschließend. Auch Verarbeitungen, die nicht auf der Liste stehen, können eine DSFA erfordern, wenn sie ein hohes Risiko bergen.
Praktische Beispiele aus dem Unternehmensalltag
Um die Pflicht zur DSFA greifbar zu machen, hier einige konkrete Szenarien:
- Videoüberwachung am Arbeitsplatz: Eine flächendeckende Videoüberwachung in Büro- oder Produktionsräumen erfordert regelmäßig eine DSFA, da Beschäftigte systematisch überwacht werden.
- GPS-Tracking von Dienstfahrzeugen: Wird der Standort von Firmenfahrzeugen dauerhaft erfasst, um Routen oder Arbeitszeiten zu kontrollieren, liegt eine systematische Überwachung vor.
- Bewerber-Screening mittels KI: Automatisierte Vorauswahl von Bewerbungen durch Algorithmen stellt ein Profiling dar, das eine DSFA auslöst.
- Kundenbindungsprogramme mit Profilbildung: Wenn Sie aus Kaufverhalten, Standortdaten und demografischen Informationen detaillierte Kundenprofile erstellen, ist eine DSFA erforderlich.
Der DSFA-Prozess Schritt für Schritt
Schritt 1: Schwellwertanalyse
Bevor Sie eine vollständige DSFA durchführen, empfiehlt sich eine Schwellwertanalyse. Diese Vorprüfung dient der Feststellung, ob überhaupt ein hohes Risiko vorliegt und eine DSFA erforderlich ist. Dokumentieren Sie das Ergebnis der Schwellwertanalyse sorgfältig. Auch ein negatives Ergebnis (keine DSFA erforderlich) sollte nachvollziehbar begründet werden.
Schritt 2: Systematische Beschreibung der Verarbeitung
Ist eine DSFA erforderlich, beginnen Sie mit einer detaillierten Beschreibung der geplanten Verarbeitungsvorgänge:
- Zweck der Verarbeitung: Welches Ziel verfolgen Sie?
- Art der Daten: Welche personenbezogenen Daten werden verarbeitet?
- Betroffene Personen: Wer ist von der Verarbeitung betroffen?
- Empfänger der Daten: An wen werden die Daten weitergegeben?
- Speicherdauer: Wie lange werden die Daten aufbewahrt?
- Technische und organisatorische Maßnahmen: Welche Schutzmaßnahmen sind vorgesehen?
- Rechtsgrundlage: Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
Schritt 3: Bewertung der Notwendigkeit und Verhältnismäßigkeit
Prüfen Sie, ob die geplante Verarbeitung notwendig und verhältnismäßig in Bezug auf den verfolgten Zweck ist. Gibt es mildere Mittel, die den gleichen Zweck erreichen, ohne ein so hohes Risiko für die Betroffenen zu schaffen? Diese Prüfung ist ein zentraler Bestandteil der DSFA und darf nicht nur formelhaft abgehandelt werden.
Schritt 4: Risikobewertung
Bewerten Sie die Risiken für die Rechte und Freiheiten der betroffenen Personen. Berücksichtigen Sie dabei:
- Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass das Risiko eintritt?
- Schwere des Schadens: Welche Auswirkungen hätte ein Schadenseintritt für die Betroffenen?
Die Risiken sollten Sie in einer Matrix darstellen, die sowohl die Eintrittswahrscheinlichkeit als auch die Schadenshöhe berücksichtigt. Typische Risikokategorien sind: physische, materielle oder immaterielle Schäden, Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder Verlust der Vertraulichkeit.
Schritt 5: Abhilfemaßnahmen festlegen
Für jedes identifizierte Risiko müssen Sie Abhilfemaßnahmen definieren, die das Risiko auf ein akzeptables Niveau senken. Zu den typischen Maßnahmen gehören:
- Pseudonymisierung und Verschlüsselung
- Zugangsbeschränkungen und Berechtigungskonzepte
- Regelmäßige Überprüfung und Löschung
- Schulung der Mitarbeitenden
- Transparenz gegenüber den Betroffenen
Die Rolle des Datenschutzbeauftragten
Gemäß Art. 35 Abs. 2 DSGVO ist bei der Durchführung einer DSFA der Rat des Datenschutzbeauftragten einzuholen, sofern ein solcher benannt wurde. Der Datenschutzbeauftragte hat dabei eine beratende Funktion. Die Verantwortung für die Durchführung und die daraus resultierenden Entscheidungen verbleibt beim Verantwortlichen, also in der Regel bei der Geschäftsleitung.
In der Praxis empfiehlt es sich, den Datenschutzbeauftragten von Beginn an in den DSFA-Prozess einzubinden. Seine Expertise kann dazu beitragen, Risiken frühzeitig zu erkennen und geeignete Abhilfemaßnahmen zu identifizieren.
Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO
Ergibt die DSFA, dass die Verarbeitung trotz aller Abhilfemaßnahmen weiterhin ein hohes Restrisiko birgt, ist der Verantwortliche gemäß Art. 36 DSGVO verpflichtet, vor der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren. Diese sogenannte vorherige Konsultation ist in der Praxis selten, sollte aber nicht vergessen werden. Die Aufsichtsbehörde kann im Rahmen der Konsultation Empfehlungen aussprechen oder die Verarbeitung untersagen.
Dokumentation und Verbindung zum Verzeichnis der Verarbeitungstätigkeiten
Die DSFA muss umfassend dokumentiert werden. Eine ordnungsgemäße Dokumentation umfasst:
- Beschreibung der Verarbeitungsvorgänge und Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Ergebnis der Risikobewertung
- Vorgesehene Abhilfemaßnahmen
- Stellungnahme des Datenschutzbeauftragten
- Datum und verantwortliche Personen
Die DSFA sollte zudem mit Ihrem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) verknüpft werden. Idealerweise verweisen Sie in den entsprechenden Einträgen des Verzeichnisses auf die zugehörige DSFA und umgekehrt. So schaffen Sie eine konsistente und lückenlose Datenschutzdokumentation.
Häufige Fehler in der Praxis
Fehler 1: DSFA wird nur als Formalie behandelt
Viele Unternehmen erstellen eine DSFA lediglich als Pflichtübung, ohne die Risiken tatsächlich tiefgehend zu analysieren. Eine solche Schein-DSFA hält einer Prüfung durch die Aufsichtsbehörde nicht stand.
Fehler 2: Fehlende Aktualisierung
Eine DSFA ist kein einmaliges Dokument. Ändern sich die Umstände der Verarbeitung, etwa durch den Einsatz neuer Software, neue Datenempfänger oder geänderte Zwecke, muss die DSFA überprüft und angepasst werden.
Fehler 3: Datenschutzbeauftragter wird nicht einbezogen
Das Übergehen des Datenschutzbeauftragten stellt nicht nur einen Verfahrensfehler dar, sondern verschenkt auch wertvolles Fachwissen.
Fehler 4: Keine Schwellwertanalyse
Ohne dokumentierte Schwellwertanalyse können Sie im Nachhinein nicht nachweisen, warum Sie auf eine DSFA verzichtet haben. Das kann im Fall einer behördlichen Prüfung problematisch werden.
Fazit
Die Datenschutz-Folgenabschätzung ist ein unverzichtbares Instrument des risikobasierten Datenschutzmanagements. Sie schützt nicht nur die Rechte der betroffenen Personen, sondern auch Ihr Unternehmen vor behördlichen Maßnahmen und Reputationsschäden. Entscheidend ist, die DSFA nicht als bürokratische Hürde zu betrachten, sondern als Chance, Datenverarbeitungsprozesse systematisch zu überprüfen und zu verbessern.
Bei compleneo unterstützen wir Unternehmen bei der Einrichtung eines praxistauglichen DSFA-Prozesses, von der Schwellwertanalyse über die Risikobewertung bis zur vollständigen Dokumentation. Sprechen Sie uns an, wenn Sie Fragen zur Datenschutz-Folgenabschätzung haben oder Unterstützung bei der Umsetzung benötigen.
