Datenschutz-Folgenabschätzung (DSFA)

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist ein strukturiertes Verfahren zur Bewertung der Risiken einer geplanten Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen. Sie ist das zentrale Instrument der DSGVO für risikobasiertes Datenschutzmanagement und muss vor dem Beginn der Verarbeitung durchgeführt werden.

Die DSFA ist vergleichbar mit einer Risiko-Analyse im Informationssicherheitsbereich, fokussiert aber spezifisch auf die Auswirkungen auf betroffene Personen — nicht auf das Unternehmen selbst. Sie dokumentiert die Verarbeitung, bewertet deren Notwendigkeit und Verhältnismäßigkeit, identifiziert Risiken und definiert Maßnahmen zur Risikominderung.

Wann ist eine DSFA erforderlich?

Art. 35 Abs. 1 DSGVO schreibt eine DSFA vor, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 nennt drei konkrete Fälle, in denen eine DSFA stets erforderlich ist:

• Systematische und umfassende Bewertung: Automatisierte Verarbeitung einschließlich Profiling, auf deren Grundlage Entscheidungen getroffen werden, die gegenüber natürlichen Personen rechtliche Wirkung entfalten oder sie in ähnlicher Weise erheblich beeinträchtigen.
• Besondere Datenkategorien in großem Umfang: Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) oder von Daten über strafrechtliche Verurteilungen (Art. 10).
• Systematische Überwachung: Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche — z. B. Videoüberwachung, WLAN-Tracking.

Blacklist und Whitelist der Aufsichtsbehörden

Art. 35 Abs. 4 verpflichtet die Aufsichtsbehörden, eine Blacklist (Positivliste) zu veröffentlichen: eine Liste von Verarbeitungsvorgängen, für die eine DSFA zwingend durchzuführen ist. Art. 35 Abs. 5 ermöglicht zudem eine Whitelist (Negativliste) mit Verarbeitungen, für die keine DSFA erforderlich ist.

Die deutsche Datenschutzkonferenz (DSK) hat eine Blacklist mit 17 Verarbeitungsvorgängen veröffentlicht, darunter:

• Umfangreiche Verarbeitung von Beschäftigtendaten zur Verhaltens- oder Leistungskontrolle
• Erstellung umfassender Profile über persönliche Interessen, Verhalten oder Aufenthaltsort
• Einsatz von Telematik-Systemen in Fahrzeugen
• Scoring- und Bonitätsbewertungsverfahren
• Einsatz von KI-Systemen zur Verarbeitung personenbezogener Daten für automatisierte Entscheidungen
• Videoüberwachung zur Beobachtung öffentlich zugänglicher Räume
• Verarbeitung biometrischer Daten zur eindeutigen Identifizierung
• Zusammenführung von Daten aus verschiedenen Quellen

Inhalt und Ablauf einer DSFA

Art. 35 Abs. 7 definiert den Mindestinhalt einer DSFA:

• Systematische Beschreibung der Verarbeitung: Zwecke, Rechtsgrundlage, Umfang, Art der Daten, betroffene Personen, Empfänger
• Bewertung der Notwendigkeit und Verhältnismäßigkeit: Ist die Verarbeitung für den verfolgten Zweck erforderlich? Gibt es weniger eingriffsintensive Alternativen?
• Bewertung der Risiken: Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Betroffenen
• Abhilfemaßnahmen: Technische und organisatorische Maßnahmen zum Schutz der betroffenen Personen, einschließlich Garantien und Sicherheitsvorkehrungen

Typischer Ablauf einer DSFA

In der Praxis umfasst eine DSFA folgende Schritte:

• Schritt 1: Schwellwertanalyse — Prüfung, ob eine DSFA erforderlich ist (Blacklist-Abgleich, Risikovorprüfung)
• Schritt 2: Detaillierte Beschreibung der geplanten Verarbeitung
• Schritt 3: Bewertung der Notwendigkeit und Verhältnismäßigkeit
• Schritt 4: Risikoidentifikation und -bewertung aus Sicht der Betroffenen
• Schritt 5: Definition von Abhilfemaßnahmen ( TOMs)
• Schritt 6: Bewertung des Restrisikos nach Umsetzung der Maßnahmen
• Schritt 7: Dokumentation und Freigabe
• Schritt 8: Regelmäßige Überprüfung (mindestens bei wesentlichen Änderungen)

Der Datenschutzbeauftragte ist nach Art. 35 Abs. 2 bei der Durchführung der DSFA zu Rate zu ziehen. Er prüft die Bewertung und gibt Empfehlungen, trägt aber nicht die Verantwortung für die Entscheidung — diese liegt beim Verantwortlichen.

Konsultation der Aufsichtsbehörde (Art. 36)

Wenn die DSFA ergibt, dass die Verarbeitung trotz der vorgesehenen Maßnahmen ein hohes Restrisiko birgt, muss der Verantwortliche die zuständige Aufsichtsbehörde vor Beginn der Verarbeitung konsultieren (Art. 36 Abs. 1). Das ist die sogenannte vorherige Konsultation.

Die Aufsichtsbehörde hat bis zu acht Wochen Zeit, um eine Stellungnahme abzugeben. Diese Frist kann bei komplexen Verarbeitungen um weitere sechs Wochen verlängert werden. Mögliche Reaktionen der Behörde:

• Empfehlungen zur weiteren Risikominderung
• Anordnung, bestimmte Änderungen an der Verarbeitung vorzunehmen
• Im Extremfall: Untersagung der Verarbeitung (Art. 58 Abs. 2 lit. f)

In der Praxis kommt es selten zur vorherigen Konsultation, da Unternehmen in der Regel die Maßnahmen so anpassen, dass das Restrisiko akzeptabel ist. Die Dokumentation der DSFA dient dann als Nachweis der Compliance.

Praxisbeispiele: Wann ist eine DSFA erforderlich?

Videoüberwachung

Systematische Videoüberwachung öffentlich zugänglicher Bereiche erfordert stets eine DSFA (Art. 35 Abs. 3 lit. c). Auch die Videoüberwachung am Arbeitsplatz wird von den meisten Aufsichtsbehörden als DSFA-pflichtig eingestuft. Die DSFA muss insbesondere die Verhältnismäßigkeit prüfen: Ist die Überwachung zum Schutz des Eigentums erforderlich, oder gibt es weniger eingriffsintensive Alternativen?

Scoring und Bonitätsbewertung

Automatisierte Scoring-Verfahren, die die Kreditwürdigkeit oder Zuverlässigkeit von Personen bewerten, fallen unter Art. 35 Abs. 3 lit. a (systematische Bewertung mit rechtlicher Wirkung). Die DSFA muss hier besonders die Transparenz der Algorithmen, die Genauigkeit der Daten und die Möglichkeit menschlicher Überprüfung bewerten.

Profiling und personalisierte Werbung

Umfassendes Profiling für personalisierte Werbung — insbesondere die Zusammenführung von Online- und Offline-Daten, geräteübergreifendes Tracking oder die Nutzung besonderer Datenkategorien — erfordert regelmäßig eine DSFA. Die Bewertung muss die Eingriffsintensität für die Betroffenen berücksichtigen und prüfen, ob die Einwilligung tatsächlich freiwillig und informiert erteilt wurde.

Die DSFA steht in engem Zusammenhang mit dem Verarbeitungsverzeichnis: Das VVT identifiziert die Verarbeitungstätigkeiten, für die eine DSFA geprüft werden muss. Die in der DSFA definierten Maßnahmen fließen wiederum in die TOM-Dokumentation ein.