Datenschutz-Folgenabschätzung (DSFA): Wann ist sie nach Art. 35 DSGVO Pflicht?

1. Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung (englisch: Data Protection Impact Assessment, DPIA) stellt gemäß Art. 35 DSGVO ein präventives Instrument des Risikomanagements im europäischen Datenschutzrecht dar. Sie dient der systematischen und strukturierten Bewertung von Datenverarbeitungen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen.

Zielsetzung der DSFA

Die DSFA verfolgt mehrere datenschutzrechtliche Kernziele:

• Risikoidentifikation: Frühzeitige Erkennung potenzieller Datenschutzrisiken vor Beginn der Verarbeitung
• Risikominimierung: Entwicklung geeigneter technischer und organisatorischer Maßnahmen (TOM) zur Risikoreduktion
• Compliance-Nachweis: Dokumentation der DSGVO-konformen Gestaltung von Verarbeitungsprozessen
• Transparenz: Nachvollziehbare Darstellung der Risikoabwägung für Aufsichtsbehörden und Betroffene
• Privacy by Design: Implementierung des Grundsatzes der datenschutzfreundlichen Technikgestaltung nach Art. 25 DSGVO

DSFA als rechtliche Verpflichtung

Die Durchführung einer DSFA ist keine freiwillige Maßnahme, sondern bei Vorliegen der gesetzlichen Voraussetzungen eine absolute rechtliche Verpflichtung des Verantwortlichen.

2. Rechtliche Grundlage: Art. 35 DSGVO im Überblick

Art. 35 Abs. 1 DSGVO: Grundtatbestand

Der zentrale Normtext lautet:

"Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Natur, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch."

Tatbestandsmerkmale im Detail

Die DSFA-Pflicht setzt folgende Voraussetzungen voraus:

1. Datenverarbeitung: Es muss eine Verarbeitung personenbezogener Daten im Sinne des Art. 4 Nr. 2 DSGVO vorliegen
2. Hohes Risiko: Die Verarbeitung muss voraussichtlich ein hohes Risiko für Rechte und Freiheiten Betroffener zur Folge haben
3. Prognoseentscheidung: Die Risikobewertung erfolgt ex ante, vor Beginn der Verarbeitung
4. Verantwortlichkeit: Der Verantwortliche nach Art. 4 Nr. 7 DSGVO ist Adressat der Pflicht

Zeitpunkt der Durchführung

Die DSFA ist vor Beginn der Verarbeitung durchzuführen (Art. 35 Abs. 1 DSGVO, Art. 35 Abs. 10 DSGVO). Eine nachträgliche DSFA erfüllt die gesetzliche Anforderung nicht und stellt einen Compliance-Verstoß dar.

3. Wann ist eine DSFA Pflicht? Die wichtigsten Kriterien

Die Verpflichtung zur Durchführung einer DSFA besteht in folgenden Konstellationen:

Hierarchie der Prüfkriterien

Stufe 1: Blacklist-Verarbeitung → DSFA zwingend erforderlich
↓
Stufe 2: Art. 35 Abs. 3 DSGVO-Regelbeispiel erfüllt → DSFA erforderlich
↓
Stufe 3: Mindestens 2 von 9 WP-248-Kriterien erfüllt → DSFA regelmäßig erforderlich
↓
Stufe 4: Voraussichtlich hohes Risiko → Einzelfallprüfung erforderlich

Kernindikatoren für eine DSFA-Pflicht

Sie müssen eine DSFA durchführen, wenn:

• Die Verarbeitung auf der Blacklist der zuständigen Aufsichtsbehörde steht
• Ein Regelbeispiel des Art. 35 Abs. 3 DSGVO vorliegt
• Mindestens zwei der neun WP-248-Kriterien erfüllt sind
• Eine neue Technologie mit unabsehbaren Datenschutzfolgen eingesetzt wird
• Besondere Kategorien von Daten (Art. 9 DSGVO) umfangreich verarbeitet werden
• Eine systematische Überwachung öffentlicher Bereiche erfolgt
• Automatisierte Einzelentscheidungen mit Rechtswirkung getroffen werden

4. Hohes Risiko nach DSGVO: Definition und Risikofaktoren

Was bedeutet "voraussichtlich hohes Risiko"?

Das hohe Risiko im Sinne des Art. 35 Abs. 1 DSGVO bezeichnet die erhöhte Wahrscheinlichkeit des Eintritts und die besondere Schwere eines Schadens für die Rechte und Freiheiten natürlicher Personen.

Risikobewertungsfaktoren

Bei der Risikoanalyse sind folgende Faktoren zu berücksichtigen:

1. Schwere der Beeinträchtigung

• Diskriminierung
• Identitätsdiebstahl oder -betrug
• Finanzielle Verluste
• Rufschädigung
• Verlust der Vertraulichkeit bei besonders geschützten Daten
• Unbefugte Aufhebung der Pseudonymisierung
• Erhebliche wirtschaftliche oder gesellschaftliche Nachteile
• Verlust der Kontrolle über personenbezogene Daten

2. Eintrittswahrscheinlichkeit

• Technische Sicherheitsmaßnahmen
• Zugangskontrollen
• Verschlüsselung
• Organisatorische Vorkehrungen
• Historische Vorfälle

3. Anzahl betroffener Personen

• Einzelpersonen vs. Massenverarbeitung
• Betroffene vulnerable Gruppen (Kinder, Patienten, Arbeitnehmer)
• Geografische Reichweite der Verarbeitung

4. Art und Sensibilität der Daten

• Besondere Kategorien nach Art. 9 DSGVO
• Strafrechtliche Daten nach Art. 10 DSGVO
• Standort- und Bewegungsdaten
• Finanz- und Bonitätsdaten
• Kommunikationsinhalte

Risikoabstufungen

Die DSGVO unterscheidet drei Risikostufen:

• Kein/geringes Risiko: Keine besonderen Maßnahmen erforderlich
• Risiko: Angemessene technische und organisatorische Maßnahmen nach Art. 32 DSGVO
• Hohes Risiko: DSFA nach Art. 35 DSGVO zwingend erforderlich

5. Die 3 obligatorischen DSFA-Fälle nach Art. 35 Abs. 3 DSGVO

Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele, bei denen eine DSFA zwingend durchzuführen ist:

5.1 Systematische und umfassende Bewertung persönlicher Aspekte (Art. 35 Abs. 3 lit. a DSGVO)

Tatbestandsmerkmale:

• Automatisierte Verarbeitung einschließlich Profiling nach Art. 4 Nr. 4 DSGVO
• Systematischer Charakter: Organisiert, methodisch, planmäßig durchgeführt
• Umfassende Bewertung: Erfassung mehrerer Lebensbereiche oder Persönlichkeitsaspekte
• Grundlage für Entscheidungen: Mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung
• Bewertung persönlicher Aspekte: Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort, Ortswechsel

Praxisrelevante Anwendungsfälle:

• Kreditscoring: Automatisierte Kreditwürdigkeitsprüfung mit Ablehnung oder Zinsanpassung
• Versicherungs-Scoring: Risikobewertung zur Tarifierung oder Vertragsablehnung
• Bewerberauswahl-Systeme: KI-basierte Vorauswahl von Kandidaten
• Personalisierte Preisgestaltung: Dynamic Pricing basierend auf Nutzerprofilen
• Mitarbeiterüberwachung: Umfassende Performance-Analysen mit Konsequenzen
• Verhaltensbasierte Werbung: Profiling für zielgerichtete Werbemaßnahmen mit erheblicher Wirkung

Keine DSFA erforderlich bei:

• Einfacher Kundensegmentierung ohne automatisierte Einzelentscheidung
• Manueller Bewertung ohne systematisches Profiling
• Geringfügigen Entscheidungen ohne rechtliche oder erhebliche Wirkung

5.2 Umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 35 Abs. 3 lit. b DSGVO)

Besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO:

1. Gesundheitsdaten: Medizinische Diagnosen, Behandlungsdaten, genetische Informationen, Patientenakten
2. Genetische Daten: DNA-Analysen, Genomsequenzierung, Vaterschaftstests
3. Biometrische Daten zur Identifizierung: Fingerabdrücke, Gesichtserkennung, Iris-Scans, Stimmprofile
4. Ethnische Herkunft: Rassische oder ethnische Zugehörigkeit
5. Politische Meinungen: Parteizugehörigkeit, politische Überzeugungen
6. Religiöse Überzeugungen: Religionszugehörigkeit, weltanschauliche Bekenntnisse
7. Gewerkschaftszugehörigkeit: Mitgliedschaft in Gewerkschaften
8. Sexualleben/sexuelle Orientierung: Sexuelle Präferenzen, Intimsphäre

Umfänglichkeit der Verarbeitung:

Der Begriff "umfangreich" ist nicht numerisch definiert. Maßgebliche Bewertungskriterien:

• Anzahl betroffener Personen: Ab ca. 1.000 Personen wird regelmäßig von umfangreicher Verarbeitung ausgegangen
• Datenmenge: Volumen und Detaillierungsgrad der verarbeiteten Daten
• Zeitraum: Dauer und Kontinuität der Verarbeitung
• Geografische Ausdehnung: Regional, national, international
• Auswirkungen: Tragweite für die Betroffenen

Praxisbeispiele mit DSFA-Pflicht:

• Krankenhausinformationssysteme: Elektronische Patientenakten mit tausenden Patienten
• Gesundheits-Apps: Tracking von Gesundheitsdaten einer großen Nutzerbasis
• Genetische Forschungsdatenbanken: Biobanken mit umfangreichen genetischen Proben
• Betriebliche Gesundheitsförderung: Systematische Erfassung von Gesundheitsdaten der Belegschaft
• Biometrische Zugangssysteme: Unternehmensweite Implementierung von Fingerprint-Scannern
• Religionsgemeinschaften: Umfassende Mitgliederverwaltung mit religiösen Daten

Keine DSFA erforderlich bei:

• Verarbeitung durch einzelne Ärzte oder Therapeuten (nicht umfangreich)
• Kleine Vereine ohne systematische Datenverarbeitung
• Punktuelle, nicht-systematische Erhebungen

5.3 Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 lit. c DSGVO)

Tatbestandsmerkmale:

• Systematisch: Planmäßig, organisiert, kontinuierlich, nicht ad hoc
• Umfangreich: Große Fläche, lange Zeiträume, viele Personen, intensiv
• Überwachung: Beobachtung, Aufzeichnung, Analyse von Verhalten
• Öffentlich zugängliche Bereiche: Räume, die für die Allgemeinheit oder einen größeren Personenkreis zugänglich sind

Praxisrelevante Szenarien:

• Videoüberwachung von Verkehrsknotenpunkten: Bahnhöfe, Flughäfen, U-Bahn-Stationen
• Innenstadtüberwachung: Flächendeckende Kameraüberwachung von Fußgängerzonen
• Einkaufszentren: Umfassende Videoüberwachung mit Verhaltensanalyse
• Gesichtserkennung im öffentlichen Raum: Automatisierte Identifikation von Personen
• Smart City-Anwendungen: Tracking von Bewegungsmustern in Städten
• Drohnenüberwachung: Systematische Luftbildüberwachung öffentlicher Bereiche
• WLAN/Bluetooth-Tracking: Verfolgung von Endgeräten zur Bewegungsprofilbildung

Abgrenzung: Keine DSFA erforderlich bei:

• Einzelne Kameras mit begrenztem Erfassungsbereich (z.B. Hauseingang)
• Kurzfristige, anlassbezogene Überwachung (z.B. Veranstaltungssicherheit)
• Nicht-öffentliche Bereiche (ausschließlich betriebsinterne Bereiche)

Wichtig: Die reine Anzahl von Kameras allein ist nicht entscheidend. Maßgeblich ist das Gesamtbild aus Systematik, Umfang, Technologie und Auswirkungen auf die Betroffenen.

6. DSFA-Blacklist: Verbindliche Verarbeitungsliste der Aufsichtsbehörden

Rechtsgrundlage und Bindungswirkung

Nach Art. 35 Abs. 4 DSGVO erstellen die Aufsichtsbehörden Listen von Verarbeitungsvorgängen, für die eine DSFA durchzuführen ist (sogenannte "Blacklists" oder "Muss-Listen"). Diese Listen haben für Verantwortliche in der jeweiligen Jurisdiktion verbindlichen Charakter.

DSFA-Liste der Datenschutzkonferenz (DSK) für Deutschland

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat folgende Verarbeitungskategorien als DSFA-pflichtig definiert:

1. Biometrische Verfahren

DSFA erforderlich bei:

• Verarbeitung biometrischer Daten zur eindeutigen Identifizierung natürlicher Personen nach Art. 9 Abs. 1 DSGVO
• Gesichtserkennung zur Authentifizierung in Bereichen mit erhöhtem Risiko
• Fingerabdruck-Erfassung zur Zutrittskontrolle in größerem Umfang
• Verhaltensbiometrie (Gangerkennung, Tippverhalten)

Ausnahme: Einfache Authentifizierung auf persönlichen Endgeräten (z.B. Smartphone-Entsperrung) ohne zentrale Speicherung

2. Scoring und Profiling

DSFA erforderlich bei:

• Scoring zur Bewertung der Kreditwürdigkeit mit automatisierten Entscheidungen über Vertragsabschluss
• Profiling mit hohem Risiko für die wirtschaftliche Situation, Gesundheit oder persönliche Vorlieben Betroffener
• Umfassende Verhaltensanalyse mit weitreichenden Konsequenzen
• Scoring im Beschäftigungskontext mit Auswirkungen auf Arbeitsverhältnis

3. Genetische Analysen

DSFA erforderlich bei:

• Umfangreiche genetische Untersuchungen außerhalb des reinen Arzt-Patienten-Verhältnisses
• Genetische Forschungsprojekte mit großer Teilnehmerzahl
• Genotypisierung für nicht-medizinische Zwecke

4. Systematische Ortung und Standortdaten

DSFA erforderlich bei:

• Systematische Ortung von Mitarbeitern (z.B. GPS-Tracking von Außendienstfahrzeugen mit Verhaltensauswertung)
• Tracking von Kunden in großem Umfang (z.B. App-basierte Bewegungsprofile)
• Indoor-Navigation mit personenbezogenem Tracking
• Geofencing mit automatisierten Konsequenzen

5. Verarbeitung bei besonderer Schutzbedürftigkeit

DSFA erforderlich bei Datenverarbeitung folgender Personengruppen:

• Kinder: Umfangreiche Verarbeitung von Daten Minderjähriger (z.B. Bildungsplattformen, Online-Angebote)
• Patienten: Verarbeitung von Gesundheitsdaten über die ärztliche Behandlung hinaus
• Beschäftigte: Umfassende Mitarbeiterüberwachung, Performance-Analysen mit weitreichenden Folgen
• Schuldner/Sozialleistungsempfänger: Datenverarbeitung in Abhängigkeitsverhältnissen
• Asylsuchende/Flüchtlinge: Verarbeitung bei vulnerablen Gruppen

6. Künstliche Intelligenz und innovative Technologien

DSFA erforderlich bei:

• Einsatz von KI-Systemen mit erheblichen Auswirkungen auf Betroffene
• Machine Learning mit automatisierten Entscheidungen
• Deep Learning für personenbezogene Analysen
• Predictive Analytics mit Verhaltensvorhersagen
• Internet of Things (IoT) mit umfangreicher Datenerhebung
• Blockchain-Anwendungen mit personenbezogenen Daten

7. Datenabgleich und Zusammenführung

DSFA erforderlich bei:

• Umfangreicher Abgleich von Datensätzen aus verschiedenen Quellen
• Erstellung umfassender Profile durch Datenzusammenführung
• Cross-Device-Tracking über mehrere Endgeräte
• Integration von Online- und Offline-Daten

8. Umfassende Persönlichkeitsprofile

DSFA erforderlich bei:

• Erstellung detaillierter Persönlichkeitsprofile über verschiedene Lebensbereiche
• Psychometrische Analysen mit weitreichenden Konsequenzen
• Social Media Monitoring mit Persönlichkeitsauswertung

Aktualität und Anwendbarkeit

Wichtig: Sie sollten stets die aktuelle Fassung der DSFA-Liste Ihrer zuständigen Aufsichtsbehörde konsultieren, da diese regelmäßig aktualisiert werden. Die Listen der Bundesländer können teilweise voneinander abweichen.

Abruf der aktuellen Listen:

• Bundesbeauftragter für Datenschutz und Informationsfreiheit (BfDI): www.bfdi.bund.de
• Landesdatenschutzbehörden: Jeweilige Website der zuständigen Behörde

7. 9-Kriterien-Test nach WP 248: Wann 2 Kriterien eine DSFA auslösen

Hintergrund: Leitlinien der Artikel-29-Datenschutzgruppe

Die ehemalige Artikel-29-Datenschutzgruppe (jetzt: Europäischer Datenschutzausschuss, EDSA) hat in den Leitlinien zur Datenschutz-Folgenabschätzung (WP 248 rev.01) neun Kriterien entwickelt.

Faustregel: Eine DSFA ist regelmäßig erforderlich, wenn mindestens zwei dieser neun Kriterien erfüllt sind.

Die 9 Kriterien im Detail

Kriterium 1: Bewertung oder Scoring

Beschreibung:
Automatisierte Verarbeitung zur Bewertung oder Vorhersage persönlicher Aspekte wie Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel.

Beispiele:

• Bonitätsprüfung mit Score-Wert
• Verhaltensanalyse von Arbeitnehmern
• Gesundheitsrisiko-Assessment
• Predictive Policing

Techniken:

• Profiling
• Scoring-Algorithmen
• Verhaltensvorhersagen
• Risikoklassifizierungen

Kriterium 2: Automatisierte Entscheidungsfindung mit Rechtswirkung

Beschreibung:
Verarbeitung, die der automatisierten Entscheidungsfindung gemäß Art. 22 Abs. 1 und Abs. 4 DSGVO dient und Rechtswirkung gegenüber Betroffenen entfaltet oder diese in ähnlicher Weise erheblich beeinträchtigt.

Beispiele:

• Automatische Kreditablehnung
• Vollautomatisierte Bewerbungsablehnung
• Automatische Vertragskündigung
• Dynamische Preisfestsetzung mit erheblicher Wirkung

Rechtswirkung umfasst:

• Vertragliche Konsequenzen
• Sozialleistungsentscheidungen
• Bildungschancen
• Arbeitsrechtliche Maßnahmen

Kriterium 3: Systematische Überwachung

Beschreibung:
Verarbeitung zur Beobachtung, Überwachung oder Kontrolle von Betroffenen, einschließlich durch kontinuierliche Erfassung von Daten über Netzwerke oder systematische Überwachung öffentlich zugänglicher Bereiche.

Beispiele:

• Videoüberwachung mit Aufzeichnung
• Tracking von Internetaktivitäten
• Standortverfolgung via GPS
• E-Mail-Monitoring am Arbeitsplatz
• Smart-Home-Überwachung

Systematisch bedeutet:

• Planmäßig, organisiert
• Kontinuierlich oder regelmäßig
• Teil eines Überwachungskonzepts

Kriterium 4: Sensible Daten oder Daten höchst persönlicher Natur

Beschreibung:
Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.

Besondere Kategorien (Art. 9 DSGVO):

• Gesundheitsdaten
• Genetische Daten
• Biometrische Daten zur Identifizierung
• Daten über rassische/ethnische Herkunft
• Politische Meinungen
• Religiöse Überzeugungen
• Gewerkschaftszugehörigkeit
• Sexualleben/sexuelle Orientierung

Strafrechtliche Daten (Art. 10 DSGVO):

• Verurteilungen
• Straftaten
• Ermittlungsverfahren

Daten höchst persönlicher Natur:

• Kommunikationsinhalte (E-Mails, Chats)
• Standort- und Bewegungsdaten
• Finanzielle Verhältnisse
• Private Korrespondenz

Kriterium 5: Umfangreiche Verarbeitung

Beschreibung:
Verarbeitung personenbezogener Daten in großem Umfang. Die DSGVO definiert "umfangreich" nicht abschließend.

Bewertungsfaktoren:

1. Anzahl betroffener Personen:
   • Absolut (z.B. >10.000 Personen)
   • Relativ (z.B. % der Bevölkerung)
2. Datenmenge:
   • Volumen der Daten
   • Anzahl verschiedener Datenarten
3. Dauer der Tätigkeit:
   • Kontinuierliche Verarbeitung
   • Langfristige Speicherung
4. Geografische Ausdehnung:
   • Regional
   • National
   • International/EU-weit

Beispiele:

• Krankenhaussystem mit 50.000 Patienten pro Jahr
• Social-Media-Plattform mit Millionen Nutzern
• Nationale Kundendatenbank eines Konzerns
• Cityweites Smart-City-Projekt

Kriterium 6: Abgleichen oder Zusammenführen von Datensätzen

Beschreibung:
Verarbeitung, bei der zwei oder mehr Datensätze, die zu unterschiedlichen Zwecken oder von verschiedenen Verantwortlichen verarbeitet wurden, in einer Weise zusammengeführt werden, die die ursprünglichen Erwartungen der betroffenen Person überschreitet.

Beispiele:

• Zusammenführung von Online- und Offline-Kaufdaten
• Verknüpfung von Gesundheits- und Versicherungsdaten
• Cross-Device-Tracking über Smartphone, Tablet, PC
• Integration von Social-Media-Profilen mit Unternehmensdatenbanken
• Abgleich von Mitarbeiterdaten verschiedener Systeme

Risiko:
Betroffene können nicht erwarten, dass ihre Daten aus verschiedenen Kontexten zusammengeführt werden, was zu umfassenderen Profilen führt.

Kriterium 7: Daten schutzbedürftiger Betroffener

Beschreibung:
Verarbeitung von Daten schutzbedürftiger natürlicher Personen, die sich in einem Abhängigkeitsverhältnis befinden oder bei denen ein Ungleichgewicht zwischen ihnen und dem Verantwortlichen besteht.

Schutzbedürftige Gruppen:

1. Kinder und Jugendliche: Minderjährige unter 18 Jahren
2. Patienten: Im Verhältnis zum Arzt/Krankenhaus
3. Arbeitnehmer: Im Abhängigkeitsverhältnis zum Arbeitgeber
4. Asylsuchende/Flüchtlinge: Vulnerable Situation
5. Pflegebedürftige: Ältere oder behinderte Personen in Betreuung
6. Studenten: Im Verhältnis zur Hochschule
7. Schuldner: Gegenüber Gläubigern
8. Sozialleistungsempfänger: Abhängigkeit von Behörden

Besonderheit:
Diese Personen können ihre Rechte oft nicht in gleichem Maße wahrnehmen oder sind stärker von Entscheidungen betroffen.

Kriterium 8: Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen

Beschreibung:
Einsatz von Technologien oder Methoden, die neu sind oder deren Auswirkungen auf den Datenschutz noch nicht vollständig absehbar sind.

Beispiele neuer Technologien:

• Künstliche Intelligenz (KI) und Machine Learning
• Biometrische Erkennungssysteme
• Internet of Things (IoT)
• Blockchain und Distributed Ledger
• Quantencomputing
• Augmented/Virtual Reality mit Datenerfassung
• Brain-Computer-Interfaces
• Autonome Fahrzeuge mit Sensorik
• 5G-basierte Echtzeitüberwachung

Innovative organisatorische Lösungen:

• Neue Geschäftsmodelle datengetriebener Dienste
• Kombinationen bekannter Technologien in neuartiger Weise
• Pilotprojekte mit unerprobten Konzepten

Kriterium 9: Verhinderung der Ausübung von Rechten oder Nutzung von Diensten

Beschreibung:
Verarbeitung, die Betroffene daran hindert, ein Recht auszuüben oder einen Dienst oder Vertrag in Anspruch zu nehmen.

Beispiele:

• Identitätsprüfung, die bestimmte Personen systematisch ausschließt
• Banken, die Konten aufgrund von Scoring verweigern
• Versicherungen, die Verträge aufgrund von Gesundheitsdaten ablehnen
• Zugangskontrollen, die den Zutritt zu notwendigen Diensten verwehren
• Diskriminierende Algorithmen bei Jobvermittlung
• Verweigerung von Sozialleistungen aufgrund automatisierter Prüfung

Besonderheit:
Diese Verarbeitungen können zu Ausgrenzung und Diskriminierung führen und beeinträchtigen fundamentale Rechte der Betroffenen.

Praktische Anwendung des 2-Kriterien-Tests

Prüfschema:

1. Liste alle 9 Kriterien auf
2. Prüfe für Ihre geplante Verarbeitung, welche Kriterien zutreffen
3. Dokumentiere die Prüfung
4. Sind ≥2 Kriterien erfüllt → DSFA durchführen
5. Bei Zweifeln → DSFA durchführen (Sicherheitsprinzip)

Beispielfall: E-Learning-Plattform für Schulen

✓ Kriterium 4: Daten von Kindern (schutzbedürftig)
✓ Kriterium 5: Umfangreiche Verarbeitung (tausende Schüler)
✗ Kriterium 1: Kein Scoring
✗ Kriterium 2: Keine automatisierten Entscheidungen mit Rechtswirkung
✗ Kriterium 3: Keine systematische Überwachung
✗ Kriterium 6: Kein Datenabgleich
✗ Kriterium 7: Bereits in Kriterium 4 erfasst
✗ Kriterium 8: Keine neue Technologie
✗ Kriterium 9: Keine Rechtsverhinderung

Ergebnis: 2 Kriterien erfüllt → DSFA erforderlich

8. DSFA-Prüfschema: Schritt-für-Schritt-Anleitung

Nutze dieses strukturierte Prüfschema, um systematisch zu ermitteln, ob eine DSFA-Pflicht besteht:

Schritt 1: Vorprüfung

Fragestellungen:

• Liegt eine Verarbeitung personenbezogener Daten gemäß Art. 4 Nr. 1, 2 DSGVO vor?
• Bist Sie als Verantwortlicher nach Art. 4 Nr. 7 DSGVO der richtige Adressat der Pflicht?
• Findet die DSGVO Anwendung (räumlicher und sachlicher Anwendungsbereich)?

Ergebnis:

• Nein: Keine DSFA erforderlich
• Ja: Weiter zu Schritt 2

Schritt 2: Blacklist-Prüfung

Fragestellung:

• Ist die geplante Verarbeitung auf der DSFA-Liste (Blacklist) der zuständigen Aufsichtsbehörde aufgeführt?

Vorgehen:

1. Bestimme die zuständige Aufsichtsbehörde (Bund oder Land)
2. Rufe die aktuelle Blacklist ab
3. Gleiche Ihre Verarbeitung mit den Listenpunkten ab

Ergebnis:

• Ja: DSFA ist zwingend erforderlich → Zu Schritt 7
• Nein: Weiter zu Schritt 3

Schritt 3: Whitelist-Prüfung

Fragestellung:

• Ist die Verarbeitung auf einer Whitelist (Positivliste) der Aufsichtsbehörde nach Art. 35 Abs. 5 DSGVO aufgeführt?

Ergebnis:

• Ja: Keine DSFA erforderlich (dokumentieren!)
• Nein oder keine Whitelist vorhanden: Weiter zu Schritt 4

Schritt 4: Prüfung der Regelbeispiele nach Art. 35 Abs. 3 DSGVO

Fragestellungen:

4.1 Art. 35 Abs. 3 lit. a DSGVO:
Erfolgt eine systematische und umfassende Bewertung persönlicher Aspekte mittels automatisierter Verarbeitung (Profiling), die Grundlage für Entscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung ist?

4.2 Art. 35 Abs. 3 lit. b DSGVO:
Werden besondere Kategorien von Daten nach Art. 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO umfangreich verarbeitet?

4.3 Art. 35 Abs. 3 lit. c DSGVO:
Erfolgt eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche?

Ergebnis:

• Mindestens ein Regelbeispiel erfüllt: DSFA ist erforderlich → Zu Schritt 7
• Kein Regelbeispiel erfüllt: Weiter zu Schritt 5

Schritt 5: 9-Kriterien-Test nach WP 248

Prüfe folgende Kriterien:

☐ Bewertung oder Scoring

☐ Automatisierte Entscheidungen mit Rechtswirkung

☐ Systematische Überwachung

☐ Sensible Daten oder Daten höchst persönlicher Natur

☐ Umfangreiche Verarbeitung

☐ Abgleichen oder Zusammenführen von Datensätzen

☐ Daten schutzbedürftiger Betroffener

☐ Innovative Nutzung oder neue Technologien

☐ Verhinderung der Rechtsausübung

Dokumentiere für jedes Kriterium:

• Zutreffend: Ja/Nein
• Begründung

Schritt 6: Gesamtrisikobewertung

Fragestellung:
Ist aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten?

Risikofaktoren:

• Schwere der potenziellen Beeinträchtigung
• Eintrittswahrscheinlichkeit des Schadens
• Anzahl betroffener Personen
• Sensibilität der Daten
• Innovative Technologien
• Kontrollierbarkeit durch Betroffene

Bewertungsmethode:

1. Identifiziere potenzielle Schäden (Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung)
2. Bewerte Eintrittswahrscheinlichkeit (gering, mittel, hoch)
3. Bewerte Schadenschwere (gering, mittel, hoch, sehr hoch)
4. Kombiniere beide Faktoren zur Risikoeinschätzung

Risikomatrix:

                    Eintrittswahrscheinlichkeit
                    Gering  Mittel  Hoch
Schwere   Sehr hoch   ↑       ↑      ↑
          Hoch        →       ↑      ↑
          Mittel      →       →      ↑
          Gering      →       →      →

↑ = Hohes Risiko (DSFA erforderlich)
→ = Moderates/geringes Risiko (keine DSFA)

Ergebnis:

• Hohes Risiko: DSFA durchführen → Zu Schritt 7
• Kein hohes Risiko: Keine DSFA erforderlich → Dokumentation

Schritt 7: Ausnahmeprüfung

Vor Durchführung der DSFA prüfen:

Art. 35 Abs. 10 DSGVO:
Hat die Verarbeitung eine Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, die den konkreten Verarbeitungsvorgang regelt, und wurde bereits im Rahmen der allgemeinen Folgenabschätzung bei Erlass dieser Rechtsvorschrift eine DSFA durchgeführt?

Ergebnis:

• Ja: Keine DSFA erforderlich (außer erforderlich nach Mitgliedstaatenrecht)
• Nein: DSFA durchführen

Schritt 8: Dokumentation

Dokumentiere unabhängig vom Ergebnis:

• Durchgeführte Prüfschritte
• Bewertungsergebnisse je Kriterium
• Getroffene Entscheidung (DSFA ja/nein)
• Begründung der Entscheidung
• Datum der Prüfung
• Verantwortliche Person

Aufbewahrung:
Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

9. Ausnahmen: Wann keine DSFA erforderlich ist

Auch bei Vorliegen der grundsätzlichen Voraussetzungen kann eine DSFA ausnahmsweise entfallen:

9.1 Gesetzliche Rechtsgrundlage mit abgeschlossener DSFA (Art. 35 Abs. 10 DSGVO)

Voraussetzungen:

1. Spezifische Rechtsgrundlage: Die Verarbeitung stützt sich auf eine Rechtsvorschrift im Unionsrecht oder im Recht des Mitgliedstaats
2. Regelung des konkreten Verarbeitungsvorgangs: Die Rechtsvorschrift muss die spezifische Verarbeitung regeln, nicht nur allgemein ermächtigen
3. Legislative DSFA: Im Rahmen des Gesetzgebungsverfahrens wurde bereits eine DSFA durchgeführt
4. Keine anderslautende mitgliedstaatliche Regelung: Der Mitgliedstaat kann vorsehen, dass dennoch eine DSFA durchzuführen ist

Beispiele:

• Volkszählung aufgrund statistischer Gesetze mit legislativer Folgenabschätzung
• Melderechtliche Datenverarbeitung nach Meldegesetzen
• Steuerrechtliche Datenverarbeitung nach Abgabenordnung
• Sozialrechtliche Verarbeitungen nach SGB

Wichtig:

• Die reine Existenz einer Rechtsgrundlage (z.B. Art. 6 Abs. 1 lit. c DSGVO) reicht nicht aus
• Die Rechtsvorschrift muss den spezifischen Verarbeitungsvorgang detailliert regeln
• Im Zweifelsfall ist eine DSFA durchzuführen

9.2 Whitelist der Aufsichtsbehörde (Art. 35 Abs. 5 DSGVO)

Rechtsgrundlage:
Die zuständige Aufsichtsbehörde kann eine Liste von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine DSFA erforderlich ist (Whitelist oder Positivliste).

Status in Deutschland:
In Deutschland haben bisher nur wenige Aufsichtsbehörden Whitelists veröffentlicht. Prüfe die Website Ihrer zuständigen Aufsichtsbehörde.

Mögliche Inhalte:

• Standardisierte Verarbeitungen mit geringem Risiko
• Etablierte Praktiken mit nachweislich niedrigem Risikoprofil
• Verarbeitungen mit bereits geklärten Risiken

9.3 Ähnliche Verarbeitung mit bestehender DSFA (Art. 35 Abs. 1 Satz 2 DSGVO)

Voraussetzung:
Die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sind vergleichbar mit einer Verarbeitung, für die bereits eine DSFA durchgeführt wurde.

Vorgehen:

1. Prüfe, ob eine ähnliche Verarbeitung bereits DSFA-bewertet wurde
2. Analysiere Unterschiede zur neuen Verarbeitung
3. Bewerte, ob die bestehende DSFA ausreichend ist
4. Dokumentiere die Vergleichbarkeit

Beispiel:

• Einführung eines Zeiterfassungssystems an einem zweiten Standort mit identischer Technik und Zwecksetzung
• Erweiterung eines CRM-Systems um eine weitere Kundengruppe mit gleichen Verarbeitungsprozessen

Wichtig:
Bei relevanten Änderungen (z.B. andere Technologie, zusätzliche Daten, neuer Zweck) ist eine neue oder aktualisierte DSFA erforderlich.

9.4 Kein hohes Risiko (Art. 35 Abs. 1 Satz 1 DSGVO)

Grundsatz:
Wenn die Verarbeitung voraussichtlich kein hohes Risiko zur Folge hat, besteht keine DSFA-Pflicht.

Restriktive Auslegung:
Die Grenze ist restriktiv auszulegen. Im Zweifelsfall sollte eine DSFA durchgeführt werden.

Beispiele ohne hohes Risiko:

• Einfache Kundenverwaltung mit Stammdaten
• Klassische Lohn- und Gehaltsabrechnung
• Website-Kontaktformular
• Newsletter-Versand mit Einwilligung
• Einzelkamera zur Hauseingangsüberwachung

Abgrenzung:
Sobald zusätzliche Faktoren hinzukommen (umfangreiche Verarbeitung, sensible Daten, neue Technologien), kann sich das Risikoprofil ändern.

10. DSFA richtig durchführen: Inhalt und Mindestanforderungen

10.1 Gesetzliche Mindestanforderungen nach Art. 35 Abs. 7 DSGVO

Eine rechtskonforme DSFA muss mindestens folgende vier Elemente enthalten:

Element 1: Systematische Beschreibung der geplanten Verarbeitungsvorgänge

Inhalte:

a) Zwecke der Verarbeitung

• Primäre Zwecke (Hauptzweck der Datenverarbeitung)
• Sekundäre Zwecke (weitere Nutzungen)
• Zweckbindung und Zweckänderungen

b) Kategorien personenbezogener Daten

• Stammdaten (Name, Adresse, Geburtsdatum)
• Kontaktdaten
• Vertragsdaten
• Nutzungsdaten
• Standortdaten
• Besondere Kategorien nach Art. 9 DSGVO
• Strafrechtliche Daten nach Art. 10 DSGVO

c) Datenquellen

• Direkte Erhebung beim Betroffenen
• Erhebung bei Dritten
• Öffentlich zugängliche Quellen
• Sensordaten

d) Betroffene Personengruppen

• Kunden, Interessenten
• Beschäftigte
• Bewerber
• Patienten
• Website-Besucher
• Kinder

e) Empfänger der Daten

• Interne Empfänger (Abteilungen, Mitarbeiter)
• Externe Empfänger (Dienstleister, Partner)
• Übermittlungen in Drittländer
• Kategorien von Empfängern

f) Speicherdauer

• Konkrete Fristen
• Kriterien zur Festlegung der Dauer
• Löschkonzept

g) Technische und organisatorische Umsetzung

• IT-Systeme und Infrastruktur
• Datenflüsse
• Schnittstellen
• Berechtigungskonzept
• Sicherheitsarchitektur

h) Rechtsgrundlagen

• Art. 6 Abs. 1 DSGVO (z.B. lit. a Einwilligung, lit. b Vertrag, lit. f berechtigtes Interesse)
• Art. 9 Abs. 2 DSGVO bei besonderen Kategorien
• Nationale Rechtsgrundlagen

Element 2: Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge

a) Erforderlichkeitsprüfung

• Ist die Verarbeitung zur Zweckerreichung erforderlich?
• Gibt es mildere, gleich geeignete Mittel?
• Kann der Zweck ohne oder mit weniger Datenverarbeitung erreicht werden?

b) Verhältnismäßigkeitsprüfung

• Stehen Zweck und Mittel in angemessenem Verhältnis?
• Sind die Eingriffe in Rechte der Betroffenen verhältnismäßig?
• Überwiegt der Nutzen die Risiken?

c) Prüfung von Alternativen

• Datenvermeidung
• Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO
• Pseudonymisierung
• Anonymisierung
• Alternative Technologien

d) Interessenabwägung (bei Art. 6 Abs. 1 lit. f DSGVO)

• Legitimes Interesse des Verantwortlichen
• Interessen und Grundrechte der Betroffenen
• Abwägungsergebnis

Element 3: Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

a) Risikoidentifikation

Systematische Analyse potenzieller Schäden:

• Verlust der Kontrolle über personenbezogene Daten
• Diskriminierung: Benachteiligung aufgrund von Dateneigenschaften
• Identitätsdiebstahl/-betrug: Missbrauch von Identitätsdaten
• Finanzielle Verluste: Direkte oder indirekte wirtschaftliche Schäden
• Rufschädigung: Reputationsverluste durch Datenmissbrauch
• Verlust der Vertraulichkeit: Unbefugter Zugriff auf sensible Daten
• Unbefugte Aufhebung der Pseudonymisierung: Re-Identifikation pseudonymisierter Daten
• Wirtschaftliche/gesellschaftliche Nachteile: Ausgrenzung, Benachteiligung
• Beeinträchtigung der Gesundheit: Physische oder psychische Schäden
• Verlust der Freiheitsrechte: Einschränkungen der Bewegungsfreiheit, Meinungsfreiheit

b) Risikobewertung: Eintrittswahrscheinlichkeit

Bewerte die Wahrscheinlichkeit des Schadenseintritts:

• Sehr gering: Schaden ist theoretisch möglich, aber höchst unwahrscheinlich
• Gering: Schaden könnte unter außergewöhnlichen Umständen eintreten
• Mittel: Schaden könnte unter bestimmten Umständen realistisch eintreten
• Hoch: Schaden ist unter den gegebenen Umständen wahrscheinlich
• Sehr hoch: Schaden ist mit hoher Wahrscheinlichkeit zu erwarten

Einflussfaktoren:

• Qualität der technischen Sicherheitsmaßnahmen
• Zuverlässigkeit organisatorischer Prozesse
• Sorgfalt bei Dienstleisterauswahl
• Erfahrungen mit Sicherheitsvorfällen
• Aktuelle Bedrohungslage (Cyberangriffe)

c) Risikobewertung: Schwere der Beeinträchtigung

Bewerte die Schadenschwere für Betroffene:

• Vernachlässigbar: Minimale Unannehmlichkeiten ohne nennenswerte Folgen
• Begrenzt: Kurzfristige Unannehmlichkeiten, leicht behebbar
• Erheblich: Deutliche Beeinträchtigungen mit mittelfristigen Folgen
• Schwerwiegend: Erhebliche und langfristige Beeinträchtigungen
• Katastrophal: Irreversible, existenzgefährdende Schäden

Einflussfaktoren:

• Sensibilität der Daten
• Anzahl betroffener Personen
• Schutzbedürftigkeit der Betroffenen
• Ausmaß der Beeinträchtigung
• Reversibilität der Schäden

d) Gesamtrisikobewertung

Kombiniere Eintrittswahrscheinlichkeit und Schadenschwere:

Bewertung:

• Sehr gering / Gering: Akzeptables Restrisiko, Standardmaßnahmen ausreichend
• Mittel: Risikominimierung durch zusätzliche Maßnahmen erforderlich
• Hoch / Sehr hoch: Erhebliches Risiko, umfassende Abhilfemaßnahmen zwingend notwendig

Element 4: Geplante Abhilfemaßnahmen zur Bewältigung der Risiken

a) Technische Maßnahmen nach Art. 32 DSGVO

• Verschlüsselung:
  • Transport-Verschlüsselung (TLS/SSL)
  • Speicher-Verschlüsselung (AES-256)
  • Ende-zu-Ende-Verschlüsselung
  • Vollständige Festplattenverschlüsselung
• Pseudonymisierung:
  • Token-basierte Pseudonymisierung
  • Anonymisierung wo möglich
  • Trennung identifizierender Daten
• Zugangs- und Zugriffskontrolle:
  • Benutzerauthentifizierung (Multi-Faktor)
  • Rollenbasierte Berechtigungen (RBAC)
  • Protokollierung von Zugriffen (Logging)
  • Regelmäßige Rechteverwaltung
• Verfügbarkeit und Belastbarkeit:
  • Backup-Konzept (3-2-1-Regel)
  • Notfallpläne
  • Redundanzen
  • Disaster Recovery
• Verfahren zur regelmäßigen Überprüfung:
  • Penetrationstests
  • Sicherheitsaudits
  • Schwachstellenscans
  • Incident Response Plan

b) Organisatorische Maßnahmen

• Datenschutzmanagement:
  • Datenschutzbeauftragter (DSB)
  • Datenschutz-Management-System
  • Verzeichnis von Verarbeitungstätigkeiten (VVT)
  • Datenschutz-Richtlinien
• Schulungen und Sensibilisierung:
  • Regelmäßige Mitarbeiterschulungen
  • Awareness-Kampagnen
  • Verpflichtung auf Vertraulichkeit
• Vertragsgestaltung:
  • Auftragsverarbeitungsverträge (AVV) nach Art. 28 DSGVO
  • Standardvertragsklauseln bei Drittlandtransfers
  • Geheimhaltungsvereinbarungen (NDA)
• Prozesse und Verfahren:
  • Betroffenenrechte-Management
  • Löschkonzepte
  • Incident-Response-Prozesse
  • Datenschutzvorfallmeldung nach Art. 33/34 DSGVO

c) Garantien und Sicherheitsvorkehrungen

• Zertifizierungen:
  • ISO/IEC 27001 (Informationssicherheit)
  • ISO/IEC 27701 (Privacy Information Management)
  • Datenschutz-Gütesiegel
• Verhaltenskodizes:
  • Branchenspezifische Kodizes nach Art. 40 DSGVO
  • Corporate Compliance Programme
• Privacy by Design und by Default (Art. 25 DSGVO):
  • Datenschutzfreundliche Voreinstellungen
  • Datenschutz als integraler Bestandteil der Systemarchitektur
  • Minimierung personenbezogener Daten

d) Restrisikobewertung

Nach Implementierung der Abhilfemaßnahmen:

1. Neubewertung der Risiken
2. Feststellung des verbleibenden Restrisikos
3. Bewertung der Akzeptabilität des Restrisikos

Entscheidung:

• Restrisiko akzeptabel (unter "hoch"): Verarbeitung kann beginnen
• Restrisiko bleibt hoch: Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich

10.2 Einbeziehung des Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO)

Verpflichtung:
Der Verantwortliche muss den Rat des Datenschutzbeauftragten (DSB) einholen, sofern ein DSB benannt ist.

Form der Einbeziehung:

• Frühzeitige Information über die geplante Verarbeitung
• Übergabe eines DSFA-Entwurfs zur Stellungnahme
• Berücksichtigung der Empfehlungen des DSB
• Dokumentation der Stellungnahme

Rolle des DSB:

• Fachliche Beratung
• Überwachung der Einhaltung datenschutzrechtlicher Vorgaben
• Keine Entscheidungsbefugnis (diese verbleibt beim Verantwortlichen)

Dokumentation:
Die Einbeziehung und die Stellungnahme des DSB müssen Teil der DSFA-Dokumentation sein.

10.3 Anhörung der betroffenen Personen (Art. 35 Abs. 9 DSGVO)

Rechtliche Vorgabe:
"Falls dies angemessen ist", holt der Verantwortliche den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung ein.

Ermessensentscheidung:
Die Anhörung ist keine absolute Pflicht, sondern liegt im pflichtgemäßen Ermessen des Verantwortlichen. Sie ist insbesondere angemessen bei:

• Verarbeitungen mit erheblichen Auswirkungen auf Betroffene
• Kontroversen oder Sensibilitäten in Bezug auf die Verarbeitung
• Verarbeitungen schutzbedürftiger Personengruppen (Kinder, Patienten)
• Innovativen Technologien mit unklaren Auswirkungen

Formen der Anhörung:

• Online-Umfragen
• Fokusgruppen
• Öffentliche Konsultationen
• Einbeziehung von Interessenvertretungen (Betriebsrat, Patientenvertreter)
• Feedback-Möglichkeiten auf der Website

Dokumentation:

• Durchgeführte Anhörungsmaßnahmen
• Eingegangene Rückmeldungen
• Berücksichtigung in der DSFA

Wichtig: Die Anhörung dient der Transparenz und kann wertvolle Hinweise auf Risiken und Verbesserungsmöglichkeiten liefern.

10.4 Format und Dokumentation

Keine Formvorgaben:
Die DSGVO macht keine Vorgaben zur Form der DSFA (kein vorgeschriebenes Formular).

Empfohlene Struktur:

1. Deckblatt:
   • Titel der DSFA
   • Verantwortlicher
   • Erstellungsdatum
   • Version
   • Bearbeiter
2. Zusammenfassung:
   • Kurzbeschreibung der Verarbeitung
   • Ergebnis der Risikobewertung
   • Zentrale Abhilfemaßnahmen
3. Hauptteil:
   • Element 1: Beschreibung
   • Element 2: Notwendigkeit und Verhältnismäßigkeit
   • Element 3: Risikobewertung
   • Element 4: Abhilfemaßnahmen
4. Anhänge:
   • Stellungnahme des DSB
   • Ergebnisse der Betroffenenanhörung
   • Technische Dokumentationen
   • Verträge (AVV, etc.)

Umfang:
Abhängig von der Komplexität der Verarbeitung (typischerweise 10-50 Seiten)

Aufbewahrung:
Die DSFA ist als Teil der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) dauerhaft aufzubewahren und bei Bedarf der Aufsichtsbehörde vorzulegen.

11. Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO

Wann ist eine Konsultation erforderlich?

Nach Art. 36 Abs. 1 DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn:

• Die DSFA ergibt, dass die Verarbeitung ein hohes Risiko zur Folge hätte, UND
• Der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos ergreift oder ergreifen kann, die das Risiko unter die Schwelle "hohes Risiko" senken würden

Konkret: Bleibt nach Umsetzung aller möglichen und zumutbaren Abhilfemaßnahmen ein hohes Restrisiko bestehen, ist die Konsultation zwingend.

Verfahren der Konsultation

Schritt 1: Konsultationsersuchen einreichen

Der Verantwortliche wendet sich schriftlich an die zuständige Aufsichtsbehörde und übermittelt:

Erforderliche Unterlagen nach Art. 36 Abs. 3 DSGVO:

a) Gegebenenfalls die jeweiligen Zuständigkeiten des Verantwortlichen:

• Bei gemeinsamer Verantwortlichkeit: Darstellung der Verantwortlichkeiten
• Bei Auftragsverarbeitung: Beschreibung der Rollen

b) Zwecke und Mittel der beabsichtigten Verarbeitung:

• Detaillierte Beschreibung aus der DSFA

c) Maßnahmen und Garantien zum Schutz der Rechte und Freiheiten:

• Vollständige Darstellung der technischen und organisatorischen Maßnahmen
• Darstellung der Wirksamkeit der Maßnahmen

d) Gegebenenfalls Kontaktdaten des Datenschutzbeauftragten:

• Name, Kontaktdaten des DSB

e) Die Datenschutz-Folgenabschätzung:

• Vollständige DSFA im Originalformat

f) Alle sonstigen von der Aufsichtsbehörde angeforderten Informationen:

• Weitere Dokumente nach Anforderung

Schritt 2: Bearbeitungsfrist

Die Aufsichtsbehörde gibt dem Verantwortlichen innerhalb von acht Wochen nach Erhalt des Konsultationsersuchens schriftlich ihre Stellungnahme (Art. 36 Abs. 2 Satz 1 DSGVO).

Fristverlängerung:
Die Frist kann um sechs Wochen verlängert werden, wenn die Komplexität der beabsichtigten Verarbeitung dies erfordert. Der Verantwortliche ist innerhalb eines Monats nach Eingang des Ersuchens über die Fristverlängerung zu unterrichten (Art. 36 Abs. 2 Satz 2 DSGVO).

Schritt 3: Stellungnahme der Aufsichtsbehörde

Die Aufsichtsbehörde kann:

• Grünes Licht geben: Verarbeitung kann wie geplant durchgeführt werden
• Auflagen erteilen: Zusätzliche Maßnahmen erforderlich
• Nachbesserung fordern: DSFA oder Maßnahmen müssen überarbeitet werden
• Verarbeitung untersagen: Bei unvertretbarem Risiko (Art. 36 Abs. 5 DSGVO mit Verweis auf Art. 58 Abs. 2 DSGVO)

Schritt 4: Umsetzung

Der Verantwortliche muss die Vorgaben der Aufsichtsbehörde umsetzen, bevor die Verarbeitung beginnen darf.

Sonderfälle

Konsultation bei Gesetzesvorhaben (Art. 36 Abs. 4 DSGVO):
Mitgliedstaaten konsultieren die Aufsichtsbehörde bei der Ausarbeitung von Gesetzesvorschlägen mit datenschutzrechtlichen Regelungen.

Verstoß gegen Art. 36 DSGVO:
Die Durchführung der Verarbeitung ohne erforderliche Konsultation kann nach Art. 83 Abs. 4 lit. a DSGVO mit Bußgeldern geahndet werden.

12. Bußgelder und Sanktionen bei fehlender DSFA

Bußgeldrahmen nach Art. 83 Abs. 4 lit. a DSGVO

Die Nichtdurchführung einer erforderlichen DSFA kann mit einem Bußgeld belegt werden:

Maximalbeträge:

• 10.000.000 Euro ODER
• 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres,
• je nachdem, welcher Betrag höher ist

Weitere sanktionierte Verstöße im Zusammenhang mit der DSFA:

• Nichtbeachtung der Anweisungen der Aufsichtsbehörde nach Art. 36 DSGVO
• Durchführung der Verarbeitung ohne vorherige Konsultation trotz hohen Risikos

Bemessung des Bußgeldes

Die Aufsichtsbehörden berücksichtigen bei der Bemessung nach Art. 83 Abs. 2 DSGVO folgende Faktoren:

Strafmildernde Faktoren:

• Kooperatives Verhalten
• Freiwillige Meldung des Verstoßes
• Geringe Anzahl betroffener Personen
• Geringe Schadenshöhe
• Erstmaliger Verstoß
• Nachholung der DSFA
• Umfassende Compliance-Maßnahmen

Strafverschärfende Faktoren:

• Vorsätzliches oder fahrlässiges Handeln
• Große Anzahl betroffener Personen
• Hoher entstandener Schaden
• Wiederholte Verstöße
• Behinderung der Aufsichtsbehörde
• Besonders sensible Datenkategorien
• Vorherige Warnungen der Aufsichtsbehörde

Weitere Sanktionsmöglichkeiten nach Art. 58 Abs. 2 DSGVO

Neben Bußgeldern können Aufsichtsbehörden:

• Verwarnungen aussprechen (lit. a)
• Verweise erteilen bei Verstößen (lit. b)
• Anordnung zur Nachholung der DSFA (lit. d)
• Vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots (lit. f)
• Anordnung zur Berichtigung, Löschung oder Einschränkung der Verarbeitung (lit. g)
• Aussetzung der Datenübermittlung an Empfänger in Drittländern (lit. j)

Praxisbeispiele aus der Rechtsprechung

Beispiel 1: Hamburg, 2019
Bußgeld von 35.000 Euro gegen ein Immobilienunternehmen wegen fehlender DSFA für Videoüberwachung mit Gesichtserkennung.

Beispiel 2: Italien, 2021
Bußgeld von 8.500.000 Euro gegen ein Telekommunikationsunternehmen, unter anderem wegen fehlender DSFA für umfangreiches Profiling und Scoring.

Beispiel 3: Niederlande, 2020
Anordnung zur Nachholung einer DSFA und Bußgeld von 750.000 Euro gegen ein Unternehmen für umfangreiche Verarbeitung von Gesundheitsdaten ohne DSFA.

Zivilrechtliche Konsequenzen

Schadensersatzansprüche nach Art. 82 DSGVO:
Betroffene Personen können Schadensersatz geltend machen, wenn ihnen durch einen DSGVO-Verstoß (einschließlich fehlender DSFA) ein materieller oder immaterieller Schaden entstanden ist.

Reputationsschäden:

• Verlust von Kundenvertrauen
• Negative Medienberichterstattung
• Wettbewerbsnachteile
• Beeinträchtigung der Geschäftsbeziehungen

13. Best Practices und Empfehlungen für die Praxis

Proaktive Durchführung im Zweifelsfall

Empfehlung: Im Zweifelsfall sollten Sie eine DSFA durchführen, auch wenn die rechtliche Pflicht nicht eindeutig feststeht.

Vorteile:

• Rechtssicherheit und Nachweisbarkeit
• Identifikation und Minimierung von Risiken
• Dokumentation der Sorgfalt (Compliance-Nachweis)
• Frühzeitige Fehlererkennung spart Kosten
• Positive Signalwirkung gegenüber Aufsichtsbehörden

Abwägung:
Der Aufwand einer DSFA ist in der Regel geringer als das Risiko von Bußgeldern, Reputationsschäden oder Schadenersatzforderungen.

Regelmäßige Überprüfung und Aktualisierung

Verpflichtung nach Art. 35 Abs. 11 DSGVO:
Die DSFA ist zu überprüfen und gegebenenfalls zu aktualisieren, wenn sich das Risiko für die Rechte und Freiheiten der betroffenen Personen ändert.

Anlässe für eine Überprüfung:

• Technische Änderungen:
  • Neue Software oder Systeme
  • Systemupgrades mit neuen Funktionen
  • Änderungen der IT-Infrastruktur
• Organisatorische Änderungen:
  • Neue Dienstleister oder Partner
  • Änderung der Verantwortlichkeiten
  • Unternehmensumstrukturierungen
• Änderung der Verarbeitungszwecke:
  • Zweckerweiterungen
  • Neue Nutzungen der Daten
• Änderung der Datenkategorien:
  • Verarbeitung zusätzlicher sensibler Daten
  • Neue Datenquellen
• Sicherheitsvorfälle:
  • Datenpannen
  • Cyberangriffe
  • Verlust von Datenträgern
• Rechtliche Änderungen:
  • Neue Gesetze oder Verordnungen
  • Gerichtsurteile oder Behördenentscheidungen
• Neue Erkenntnisse:
  • Technologische Entwicklungen
  • Erkenntnisse aus der Praxis

Empfohlene Überprüfungsintervalle:

• Mindestens alle 2-3 Jahre routinemäßig
• Ad hoc bei wesentlichen Änderungen
• Nach Sicherheitsvorfällen unverzüglich

Standardisierung für gleichartige Verarbeitungen

Möglichkeit nach Art. 35 Abs. 1 Satz 2 DSGVO:
Für gleichartige Verarbeitungsvorgänge mit ähnlichem Risikoprofil kann eine einzige DSFA erstellt werden.

Vorgehensweise:

1. Erstelle eine Muster-DSFA:
   • Beschreibe die typischen Merkmale der Verarbeitungsart
   • Analysiere die allgemeinen Risiken
   • Definiere Standardmaßnahmen
2. Individualisierung:
   • Passe die Muster-DSFA an spezifische Umstände an
   • Dokumentiere Abweichungen
   • Bewerte individuelle Risikofaktoren
3. Dokumentation:
   • Führe eine Liste der Verarbeitungen, auf die die standardisierte DSFA anwendbar ist
   • Dokumentiere die Vergleichbarkeit

Beispiele für standardisierbare DSFAs:

• Videoüberwachung an verschiedenen Standorten
• CRM-Systeme in verschiedenen Abteilungen
• E-Mail-Marketing für verschiedene Kundengruppen
• Zeiterfassungssysteme in Filialen

Vorteil: Effizienzgewinn ohne Qualitätsverlust

Einbeziehung von Stakeholdern

Multidisziplinärer Ansatz:
Beziehe verschiedene Fachbereiche in die DSFA ein:

• IT/IT-Sicherheit: Technische Risikobewertung, Sicherheitsmaßnahmen
• Fachabteilungen: Zwecke, Prozesse, fachliche Anforderungen
• Recht/Compliance: Rechtliche Bewertung, Vertragsgestaltung
• Datenschutzbeauftragter: Fachliche Beratung, Überwachung
• Geschäftsführung: Strategische Entscheidungen, Ressourcenzuteilung
• Betriebsrat: Interessen der Beschäftigten (bei Arbeitnehmerdaten)

Vorteile:

• Umfassende Risikobewertung
• Verschiedene Perspektiven
• Höhere Akzeptanz
• Bessere Umsetzbarkeit

Nutzung von Tools und Vorlagen

Hilfsmittel:

• DSFA-Software: Strukturierte Erfassung und Auswertung
• Checklisten: Systematische Vollständigkeitsprüfung
• Vorlagen: Standardisierte Dokumentformate
• Risikokataloge: Vordefinierte Risikosammlungen
• Maßnahmenkataloge: Best-Practice-Maßnahmen

Empfohlene Quellen:

• Mustervorlagen der Aufsichtsbehörden
• Branchenverbände
• ISO/IEC-Standards (z.B. ISO/IEC 29134)
• CNIL PIA-Software (französische Aufsichtsbehörde)

Wichtig: Tools ersetzen nicht die inhaltliche Auseinandersetzung, sondern unterstützen diese.

Dokumentation als Compliance-Nachweis

Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO):
Der Verantwortliche muss nachweisen können, dass die DSGVO eingehalten wird.

Was sollte dokumentiert werden:

• DSFA selbst: Vollständige Durchführung aller Elemente
• Prüfung der DSFA-Pflicht: Auch wenn keine DSFA durchgeführt wird
• Konsultation des DSB: Stellungnahmen, Empfehlungen
• Anhörung Betroffener: Durchführung, Ergebnisse, Berücksichtigung
• Aktualisierungen: Überprüfungen, Änderungen, Gründe
• Umsetzung von Maßnahmen: Implementierungsnachweise
• Konsultation der Aufsichtsbehörde: Korrespondenz, Auflagen, Umsetzung

Aufbewahrung:
Solange die Verarbeitung läuft und für Nachweiszwecke erforderlich (empfohlen: mindestens 3 Jahre nach Ende der Verarbeitung)

Privacy by Design Integration

Art. 25 DSGVO:
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Integration der DSFA:
Die DSFA sollte nicht nachträglich, sondern als integraler Bestandteil der Systemplanung durchgeführt werden.

Vorteile:

• Frühzeitige Risikoidentifikation
• Kostengünstigere Implementierung von Schutzmaßnahmen
• Vermeidung nachträglicher Anpassungen
• Datenschutzfreundlichere Lösungen

Best Practice:

• Beginne die DSFA in der Konzeptionsphase
• Überprüfe und aktualisiere während der Entwicklung
• Finalisiere vor dem Go-Live
• Pflege kontinuierlich im Betrieb

14. Häufig gestellte Fragen (FAQ)

F1: Muss ich für jede einzelne Verarbeitung eine eigene DSFA durchführen?

Antwort:
Nein, nicht zwingend. Nach Art. 35 Abs. 1 Satz 2 DSGVO kann eine einzige DSFA für mehrere ähnliche Verarbeitungsvorgänge mit vergleichbarem Risikoprofil erstellt werden. Beispiel: Videoüberwachung an verschiedenen Standorten mit gleicher Technologie und gleichem Zweck.

Voraussetzung: Die Verarbeitungen müssen hinsichtlich Art, Umfang, Umstände und Zwecke vergleichbar sein.

F2: Wie lange dauert die Erstellung einer DSFA?

Antwort:
Der Zeitaufwand variiert stark je nach:

• Komplexität der Verarbeitung
• Verfügbarkeit der Informationen
• Erfahrung des Erstellers
• Einbeziehung von Stakeholdern

Richtwerte:

• Einfache Verarbeitung (z.B. Standard-Videoüberwachung): 1-3 Arbeitstage
• Mittlere Komplexität (z.B. CRM-System): 3-7 Arbeitstage
• Hohe Komplexität (z.B. KI-basiertes Scoring): 10-20 Arbeitstage

Empfehlung: Plane ausreichend Zeit ein und beginne frühzeitig in der Projektplanung.

F3: Wer ist für die Durchführung der DSFA verantwortlich?

Antwort:
Der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO trägt die Verantwortung für die Durchführung der DSFA.

In der Praxis:

• Die Durchführung kann delegiert werden (z.B. an Datenschutzbeauftragte, Projektleiter, externe Berater)
• Die Verantwortung und Rechenschaftspflicht verbleibt beim Verantwortlichen (Geschäftsführung)
• Der Datenschutzbeauftragte muss einbezogen werden, trägt aber nicht die Verantwortung

F4: Was passiert, wenn ich eine DSFA nachträglich durchführe?

Antwort:
Eine nachträgliche DSFA erfüllt die gesetzliche Anforderung (Art. 35 Abs. 1: "vorab") nicht vollständig.

Konsequenzen:

• Verstoß gegen Art. 35 DSGVO
• Mögliches Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO
• Dennoch: Nachholung ist besser als dauerhafte Unterlassung

Vorgehen:

1. DSFA unverzüglich nachholen
2. Risiken bewerten
3. Erforderliche Maßnahmen umsetzen
4. Ggf. Aufsichtsbehörde konsultieren
5. Bei hohem Risiko: Verarbeitung ggf. aussetzen bis Maßnahmen greifen

Empfehlung: Melde die Nachholung nicht aktiv bei der Aufsichtsbehörde, außer es liegt ein hohes Restrisiko vor oder eine Konsultationspflicht besteht.

F5: Benötige ich eine DSFA für meine Unternehmenswebsite mit Kontaktformular?

Antwort:
In der Regel nein, wenn:

• Nur Stammdaten (Name, E-Mail, Nachricht) erhoben werden
• Keine umfangreiche Verarbeitung erfolgt
• Keine Profiling- oder Tracking-Technologien eingesetzt werden
• Keine sensiblen Daten verarbeitet werden

DSFA erforderlich bei:

• Umfangreiches Tracking und Profiling (z.B. umfassende Cookie-Nutzung mit Verhaltensanalyse)
• Zusammenführung von Daten aus verschiedenen Quellen
• Automatisierte Entscheidungen basierend auf Website-Verhalten
• Innovative Technologien (z.B. KI-Chatbots mit umfassender Analyse)

F6: Gilt die DSFA-Pflicht auch für kleine Unternehmen und Vereine?

Antwort:
Ja, die DSFA-Pflicht gilt unabhängig von der Größe des Verantwortlichen. Es gibt keine Ausnahme für kleine Unternehmen, Vereine oder Selbstständige.

Entscheidend ist:

• Art, Umfang, Umstände und Zwecke der Verarbeitung
• Nicht die Größe des Unternehmens

Beispiel:
Ein kleiner Verein, der systematische Videoüberwachung seiner Vereinsräume mit Aufzeichnung betreibt, muss eine DSFA durchführen.

F7: Muss ich die DSFA der Aufsichtsbehörde vorlegen?

Antwort:
Nicht automatisch, aber in folgenden Fällen:

Vorlage erforderlich bei:

• Konsultationspflicht nach Art. 36 DSGVO (hohes Restrisiko)
• Auf Anforderung der Aufsichtsbehörde im Rahmen einer Prüfung (Art. 58 Abs. 1 lit. e DSGVO)

Keine proaktive Vorlage:
Bei erfolgreicher Risikominimierung ohne hohes Restrisiko müssen Sie die DSFA nicht von sich aus einreichen.

Empfehlung:
Halte die DSFA jederzeit abrufbereit für eventuelle Kontrollen.

F8: Kann ich eine DSFA auch für bestehende Verarbeitungen nachträglich durchführen?

Antwort:
Ja und dies ist sogar empfohlen, wenn:

• Die Verarbeitung vor Mai 2018 (Inkrafttreten der DSGVO) begonnen hat
• Zweifel bestehen, ob die Verarbeitung noch den Anforderungen entspricht
• Sich Risiken geändert haben

Vorgehen:

1. Bewerte, ob die Verarbeitung DSFA-pflichtig ist/war
2. Führe die DSFA nach
3. Identifiziere Verbesserungspotenziale
4. Setze erforderliche Maßnahmen um

Wichtig: Die DSGVO gilt seit Mai 2018, daher sollten relevante Verarbeitungen inzwischen eine DSFA haben.

F9: Wie unterscheidet sich die DSFA vom Verzeichnis von Verarbeitungstätigkeiten (VVT)?

Antwort:

Verhältnis:
Das VVT dient als Ausgangspunkt zur Identifikation DSFA-pflichtiger Verarbeitungen. Die DSFA ist eine vertiefte Analyse ausgewählter Verarbeitungen.

F10: Was ist der Unterschied zwischen DSFA und TOM?

Antwort:

Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO:

• Konkrete Schutzmaßnahmen zur Datensicherheit
• Verpflichtend für alle Verarbeitungen
• Fokus: Sicherheit der Verarbeitung

DSFA nach Art. 35 DSGVO:

• Umfassende Risikobewertung
• Nur bei voraussichtlich hohem Risiko
• Fokus: Risiken für Rechte und Freiheiten der Betroffenen
• Beinhaltet auch TOM als Teil der Abhilfemaßnahmen

Verhältnis:
Die DSFA bewertet Risiken und definiert erforderliche TOM als Schutzmaßnahmen. TOM sind also Teil der DSFA, aber auch unabhängig davon für jede Verarbeitung erforderlich.

F11: Benötige ich eine DSFA für KI und Machine Learning?

Antwort:
Häufig ja, da KI-Systeme oft mehrere DSFA-Kriterien erfüllen:

Typische Kriterien:

• ✓ Innovative Technologie (Kriterium 8 WP 248)
• ✓ Automatisierte Entscheidungen (Kriterium 2 WP 248)
• ✓ Profiling und Bewertung (Kriterium 1 WP 248)
• ✓ Umfangreiche Verarbeitung (Kriterium 5 WP 248)
• ✓ Potenziell sensible Daten (Kriterium 4 WP 248)

Besondere Risiken bei KI:

• Intransparente Entscheidungsfindung ("Black Box")
• Diskriminierungspotenzial durch Bias
• Weitreichende Auswirkungen auf Betroffene
• Schwer nachvollziehbare Algorithmen

Empfehlung:
Führe bei jedem KI-Projekt mit Personenbezug eine DSFA durch. Die Aufsichtsbehörden legen hier besonderen Fokus.

F12: Wie gehe ich mit Drittlandtransfers in der DSFA um?

Antwort:
Drittlandtransfers (Datenübermittlungen außerhalb der EU/EWR) stellen zusätzliche Risiken dar und sind in der DSFA zu berücksichtigen:

Zu bewertende Aspekte:

• Datenschutzniveau im Zielland
• Garantien (Standardvertragsklauseln, Binding Corporate Rules)
• Zugriffsmöglichkeiten von Behörden (z.B. USA: FISA 702, EO 12333)
• Rechtsdurchsetzungsmöglichkeiten für Betroffene

Integration in die DSFA:

1. Beschreibung: Liste alle Drittlandtransfers auf
2. Risikobewertung: Bewerte spezifische Risiken des Drittlands
3. Abhilfemaßnahmen: Zusätzliche Schutzmaßnahmen (z.B. Verschlüsselung, zusätzliche vertragliche Garantien)
4. Transfer Impact Assessment (TIA): Ggf. gesonderte Bewertung gemäß Schrems-II-Urteil

Tipp: Vermeide Drittlandtransfers wo möglich oder wähle Anbieter mit EU-Datenhaltung.

F13: Was ist bei Cloud-Diensten in der DSFA zu beachten?

Antwort:
Cloud-Dienste erfordern besondere Aufmerksamkeit in der DSFA:

Spezifische Risiken:

• Verlust der physischen Kontrolle über Daten
• Mehrmandantenfähigkeit (Multi-Tenancy)
• Internationale Datenflüsse
• Abhängigkeit vom Anbieter (Vendor Lock-in)
• Subunternehmer-Ketten

Zu prüfende Aspekte:

1. Standort der Datenhaltung: EU/EWR oder Drittland?
2. Zugriffsmöglichkeiten: Wer kann auf die Daten zugreifen?
3. Verschlüsselung: Transport- und Speicherverschlüsselung?
4. Zertifizierungen: ISO 27001, SOC 2, C5?
5. Auftragsverarbeitungsvertrag (AVV): Vollständig nach Art. 28 DSGVO?
6. Sub-Dienstleister: Wer wird eingesetzt? Wo?
7. Datenlöschung: Sichere Löschung nach Vertragsende?

Empfehlung:
Fordere vom Cloud-Anbieter umfassende Dokumentation zu Sicherheitsmaßnahmen und beziehe diese in Ihre DSFA ein.

F14: Muss die DSFA von einem externen Datenschutzexperten erstellt werden?

Antwort:
Nein, es besteht keine Verpflichtung zur Beauftragung eines externen Experten.

Möglichkeiten:

• Interne Erstellung: Durch Datenschutzbeauftragten, IT-Abteilung, Rechtsabteilung
• Externe Unterstützung: Durch Datenschutzberater, Rechtsanwälte, spezialisierte Dienstleister

Empfehlung externe Unterstützung bei:

• Fehlendem internen Know-how
• Besonders komplexen Verarbeitungen
• Innovativen Technologien
• Rechtlicher Unsicherheit

Wichtig:
Auch bei externer Erstellung trägt der Verantwortliche die Verantwortung. Der Datenschutzbeauftragte (falls vorhanden) muss in jedem Fall konsultiert werden.

F15: Wie detailliert muss die Risikobewertung sein?

Antwort:
Die Detailtiefe sollte der Komplexität und dem Risikopotenzial der Verarbeitung angemessen sein.

Minimalanforderungen:

• Identifikation der relevanten Risiken
• Bewertung von Eintrittswahrscheinlichkeit und Schwere
• Nachvollziehbare Begründung der Bewertung
• Dokumentation der Bewertungsmethode

Abstufung nach Komplexität:

Einfache Verarbeitung:

• Qualitative Bewertung (gering/mittel/hoch)
• Kurze Begründungen
• Standardisierte Maßnahmen

Komplexe Verarbeitung:

• Quantitative oder semi-quantitative Bewertung
• Detaillierte Szenarioanalysen
• Risikomatrix mit mehreren Faktoren
• Spezifische Maßnahmenpläne

Empfehlung:
Nutze etablierte Methoden wie ISO 31000 (Risikomanagement) oder ISO/IEC 29134 (Privacy Impact Assessment) als Orientierung.

Empfohlene Vorlagen und Ressourcen

Offizielle Quellen:

1. Leitlinien des EDSA:
   • WP 248 rev.01: Leitlinien zur Datenschutz-Folgenabschätzung
   • Abruf: https://edpb.europa.eu/
2. Blacklist der DSK:
   • Liste der Verarbeitungstätigkeiten für Deutschland
   • Abruf: Websites der jeweiligen Landesdatenschutzbehörden
3. ISO/IEC 29134:2017:
   • International anerkannter Standard für Privacy Impact Assessments
   • Kostenpflichtig über Beuth-Verlag oder ISO

Hinweis: Die im Text beschriebenen Vorgehensweisen und Kriterien sind ausreichend, um eine rechtskonforme DSFA zu erstellen. Vorlagen dienen lediglich der Strukturierung und ersetzen nicht die inhaltliche Auseinandersetzung mit der spezifischen Verarbeitung.

Zusammenfassung: Die wichtigsten Punkte auf einen Blick

Eine DSFA ist Pflicht, wenn:

1. ✓ Die Verarbeitung auf der Blacklist der Aufsichtsbehörde steht
2. ✓ Ein Regelbeispiel aus Art. 35 Abs. 3 DSGVO erfüllt ist
3. ✓ Mindestens 2 der 9 WP-248-Kriterien zutreffen
4. ✓ Die Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat

Die DSFA muss enthalten:

1. Systematische Beschreibung der Verarbeitung
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
3. Risikobewertung (Eintrittswahrscheinlichkeit + Schwere)
4. Abhilfemaßnahmen und Restrisikobewertung

Wichtige Verfahrensschritte:

• Durchführung vor Beginn der Verarbeitung
• Konsultation des Datenschutzbeauftragten (falls vorhanden)
• Gegebenenfalls Anhörung der Betroffenen
• Bei hohem Restrisiko: Konsultation der Aufsichtsbehörde
• Regelmäßige Überprüfung (empfohlen: alle 2-3 Jahre)

Bei Verstoß drohen:

• Bußgelder bis zu 10 Millionen Euro oder 2% des Jahresumsatzes
• Anordnungen der Aufsichtsbehörde
• Reputationsschäden
• Schadensersatzansprüche

Best Practice:

• Im Zweifel DSFA durchführen (proaktiver Ansatz)
• Frühzeitig in Projektplanung einbeziehen (Privacy by Design)
• Sorgfältig dokumentieren (Rechenschaftspflicht)
• Regelmäßig aktualisieren