Datenschutz-Folgenabschätzung nach der DSGVO – Definition und Hinweise

4. April 2023

Datenschutz verstehen – Datenschutz-Folgenabschätzung nach der DSGVO – Definition und Hinweise

Zusammenfassung:

Eine Datenschutz-Folgenabschätzung (kurz: DSFA) ist ein Verfahren, das dazu dient, die potenziellen Risiken der Verarbeitung personenbezogener Daten für betroffene Personen zu bewerten.
Es handelt sich um ein Instrument des Datenschutzrechts, das insbesondere in der Europäischen Union durch die Datenschutz-Grundverordnung (DSGVO) vorgeschrieben ist.
Eine Datenschutz-Folgenabschätzung muss durchgeführt werden, wenn eine geplante Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellen kann, z.B. wenn es um die Verarbeitung sensibler Daten geht oder um die Verarbeitung in großem Umfang.
Das Ziel der Folgenabschätzung ist es, potenzielle Risiken zu identifizieren und Maßnahmen zu entwickeln, um diese zu minimieren oder zu vermeiden.

Die Durchführung einer DSFA stellt sich als eine Pflicht für Unternehmen dar, die mit sensiblen Daten zu tun haben. Sie fungiert dabei als eine Art der Risikobeurteilung. Was die Datenschutz-Folgenabschätzung ist und wann genau eine Datenschutz-Folgenabschätzung nach der europäischen Datenschutz-Grundverordnung durchzuführen ist, erfahren Sie in diesem Blogbeitrag.

Inhalt

Was ist eine Datenschutz Folgenabschätzung?
Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?
Wer muss die Datenschutz-Folgenabschätzung vornehmen?
Zusammenhang zwischen Verarbeitungen und Datenschutz-Folgenabschätzung
Was passiert, wenn keine DSFA durchgeführt wird?

Was ist eine Datenschutz Folgenabschätzung?

Die Datenschutz-Folgenabschätzung ist in Art. 35 DSGVO geregelt. Bei der DSFA handelt es sich um eine Risikoanalyse bzw. Risikoabschätzung, die im Voraus vor der jeweiligen Datenverarbeitung durchgeführt werden muss. Sie regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Darüber hinaus beschreibt, bewertet und reduziert sie die Risiken. Dabei ist die Datenschutz-Folgenabschätzung nicht vor jeder Datenverarbeitungstätigkeit durchzuführen.

Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung hängt von der jeweiligen Verarbeitung ab. Wann eine DSFA notwendig ist, wird im Art.35 Abs.1 aufgezählt. Diese Auflistung ist allerdings nicht abschließend (vgl. Formulierung “insbesondere”).

Die Datenschutz-Folgenabschätzung hat eine Kontrollfunktion für datenverarbeitende Stellen und schützt die personenbezogenen Daten der betroffenen Personen, da eine ausführliche Bewertung der Datenverarbeitungsprozesse erfolgt. Die Erforderlichkeit der Durchführung einer Datenschutz-Folgenabschätzung ist in Deutschland dabei gar nicht wirklich neu. Bereits im alten BDSG existierte eine ähnliche Vorgabe: Gem. § 4d Abs. 5 und 6 BDSG-alt mussten verantwortliche Stellen im Fall einer automatisierten Verarbeitung mit besonderen Risiken für Rechte und Freiheiten der betroffenen Personen eine Vorabkontrolle vor Beginn der Verarbeitung durchführen.

Datenschutz Preis berechnen

Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

Preise berechnen

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Eine DSFA stellt sich immer dann als notwendig dar, wenn ein voraussichtlich hohes Risiko bei der Verarbeitung von personenbezogenen Daten zu vermuten ist. Sie erfolgt nach dem sogenannten Scoringverfahren, einem Punktebewertungsverfahren und endet mit der Risikoanalyse. Laut Art. 35 Abs. 1 S.1 DSGVO ist die Datenschutz-Folgenabschätzung durchzuführen, wenn die Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies passiert insbesondere bei Verwendung neuer Technologien, wegen der Art, des Umfangs, der Umstände und Zwecke der Verarbeitung. In Art. 35 Abs. 3 DSGVO werden weitere Fälle genannt, in welchen eine Datenschutz-Folgenabschätzung vorzunehmen ist. Auch hier werden die Fälle allerdings nicht abschließend, sondern nur beispielhaft genannt. Die sogenannte Art. 29 Datenschutzgruppe liefert zur Erkennung von hohes Risiken weitere Kriterien als Orientierung.

Eine DSFA ist immer dann durchzuführen, wenn eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt. Diese gründet sich auf die automatisierte Verarbeitung inklusive Profiling und kann ihrerseits als Grundlage für Entscheidungen dienen. Des Weiteren kann sie eine Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen.

Darüber hinaus ist eine DSFA auch dann durchzuführen, wenn eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO stattfindet. Dies trifft auch bei der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO zu. Auch im Fall der systematischen, umfangreichen Überwachung öffentlich zugänglicher Bereiche ist eine Datenschutz-Folgenabschätzung durchzuführen.

Beispiele für die Erforderlichkeit einer Datenschutz-Folgenabschätzung

Die bisher genannten Beispiele bezüglich der Erforderlichkeit einer Datenschutz-Folgenabschätzung sind nicht sehr spezifisch, weshalb die Ermittlung der Erforderlichkeit oft Schwierigkeiten bereitet.

Hier hat der europäische Gesetzgeber aber mit der Regelung in Art. 35 Abs. 4 DSGVO den zuständigen Datenschutzbehörden eine Pflicht auferlegt, weitere Konkretisierungen vorzunehmen. Gemäß Art. 35 Abs. 4 S.1 DSGVO muss die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge erstellen, für die gem. Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung erforderlich ist. Die meisten Datenschutzbehörden der Bundesländer sind dieser Pflicht, mehr oder weniger, nachgekommen:

Baden-Württemberg
Brandeburg
Bremen (für nicht-öffentlichen Bereich, Download im Bereich “Datenschutz in Europa” / “Datenschutz-Folgenabschätzung”)

Hamburg (für öffentlichen Bereich; nicht-öffentlicher Bereich)
Hessen
Mecklenburg-Vorpommern (für öffentlichen Bereich)
Niedersaschen
Nordrhein-Westfalen (öffentlicher Bereich; nicht-öffentlicher Bereich)
Rheinland-Pfalz (öffentlicher Bereich; nicht-öffentlicher Bereich)
Saarland
Sachsen
Sachsen-Anhalt
Schleswig-Holstein
Thüringen
Bayern

Bei diesen sog. Blacklists und Whitelists handelt es sich um Positivlisten / Negativlisten, bei welchen Verarbeitungen mögliche Bedrohungen entstehen könnten. Derzeit sind 16 Verarbeitungstätigkeiten in der Positivliste beinhaltet. Allerdings ist bei diesen Aufzählungen zu beachten, dass sie ebenfalls nicht abschließend sind und die aufgezählten Verarbeitungstätigkeiten lediglich Beispiele darstellen, wann definitiv eine Datenschutz-Folgenabschätzung durchzuführen ist. Eine DSFA muss stets z.B. bei der Verarbeitung biometrischer Daten durchgeführt werden, wohingegen sie bei der Verarbeitung eines Namens nicht notwendig ist.

Bei einigen Listen ist ferner zu berücksichtigen, dass die Listen gem. Art. 35 Abs. 4 S.2 DSGVO an den europäischen Datenschutzausschuss zu übermitteln sind und diese erst nach Abschluss des in Art. 35 Abs. 6 DSGVO genannten Kohärenzverfahrens Verbindlichkeit erhalten. Lesen und beachten Sie hierzu bitte die Hinweise auf der Webseite der jeweiligen zuständigen Datenschutzbehörde.

Wie ist eine Datenschutz-Folgenabschätzung durchzuführen?

Wie genau eine Datenschutz-Folgenabschätzung durchzuführen ist, erläutert Art. 35 Abs. 7 DSGVO. Hier werden Punkte genannt, die eine Datenschutz-Folgenabschätzung mindestens enthalten muss.

Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung
Die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den jeweiligen Zweck müssen bewertet werden
Die Risiken für die Rechte und Freiheiten der gem. Art. 37 Abs. 1 DSGVO betroffenen Personen müssen bewertet werden
Abhilfemaßnahmen zur Bewältigung der Risiken, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz von personenbezogenen Daten sichergestellt wird und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird

Weitere Informationen bezüglich der Inhalte der Datenschutz-Folgenabschätzung erhalten Sie von Ihrem Datenschutzbeauftragten. Unterlagen und Dokumente zum Thema Datenschutz-Folgenabschätzung erhalten Sie z.B. im Bereich DSFA auf der Webseite des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA).

Datenschutz-Folgenabschätzung Vorgehensweise

Die Prozessschritte einer DSFA lassen sich im Wesentlichen in drei Phasen gliedern: Es gibt die Vorbereitungs-, Bewertungs-, Maßnahmenphase. Hinsichtlich der genauen Vorgehensweise ist es zunächst wichtig, ein DSFA-Team zu erstellen und den Beurteilungsumfang festzulegen. Daraufhin werden die Betroffenen sowie die Akteure identifiziert (z.B. der Datenschutzbeauftragte und der Betriebsrat) und es kommt zu einer Prüfung der Notwendigkeit bzw. Verhältnismäßigkeit bezogen auf den Zweck der Verarbeitung. Dabei sollten die Rechtsgrundlagen für die Verarbeitung geprüft und dokumentiert werden sowie Risikoquellen identifiziert werden.

Es folgt eine Risikobewertung unter Berücksichtigung möglicher physischer, materieller oder immaterieller Schäden, deren Schwere und Eintrittswahrscheinlichkeit. Anhand der Definition der Schadensklasse, welche von gering bis sehr hoch ausfallen kann, ergibt sich, welche Schäden aus der Datenverarbeitung für Betroffene resultieren können. Anschließend wird eine Auswahl geeigneter Abhilfemaßnahmen, u.a. auch die technischen und organisatorischen Maßnahmen (TOM), getroffen und verbleibende Restrisiken eruiert. Darauf folgt die Erstellung des DSFA-Berichts und die Umsetzung der Abhilfemaßnahmen, welche damit auf ihre Wirksamkeit getestet werden. Es sollte sowohl eine Dokumentation des DSFA-Berichts als auch der Überprüfung der Wirksamkeit der ergriffenen Maßnahmen stattfinden. Sollten alle diese Schritte vollzogen sein, so kann der Verarbeitungsvorgang freigegeben werden. Die DSFA sollte stets auf dem aktuellsten Stand gehalten werden.

Wir empfehlen die Durchführung einer DSFA mit einem digitalen Datenschutz-Management-System, welches eine geführte Bearbeitung der Risikobewertung zulässt. Intelligente Datenschutz-Management-Systeme können sogar Empfehlungen aussprechen und eine besonders gute Hilfestellung für die Bewertung der geplanten Verarbeitung darstellen. Hier können Sie sich im Detail weiter informieren zu unserer Datenschutz-Managementsoftware.

Datenschutz-Folgenabschätzung Muster

Die nachfolgende Reihenfolge kann als Muster für die Relevanzfestellung einer DSFA genutzt werden:

Erforderlichkeitsprüfung: Werden Daten im Zuge des Profilings verarbeitet? Werden besonders schützenswerte personenbezogene Daten genutzt?
Vorgaben der Aufsichtsbehörde: Ist eine Prüfung der herausgegebenen Blacklists/Whitelists erfolgt?
Beschreibung: Wurden alle Verarbeitungsvorgänge systematisch beschrieben? Wurde notiert, welches Interesse mit der Datenerhebung verfolgt wird?
Datenschutzkonformität: Werden alle Datenschutzgrundsätze eingehalten, wie z.B. Zweckgebundenheit, Datensparsamkeit und Vertraulichkeit?
Risikobewertung: Besteht bei der Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen?
Maßnahmen zur Risikovermeidung: Wurden jedem Risiko entsprechende Abhilfemaßnahmen zugeordnet?
Standpunkte der Betroffenen: Wurden Bedenken bei der Risikobewertung und -vermeidung berücksichtigt?
Ökonomie: Wurde die Firmenstruktur an die Ergebnisse der Risikobewertung angepasst? Sind ausreichend finanzielle Mittel für das Datenschutz-Segment angewiesen?

Datenschutz-Folgenabschätzung Muster (Relevanzprüfung)

DSFA Risikoanalyse

Schließlich findet als Vorstufe einer Risikobewertung eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten statt. Diese werden in normalen Schutzbedarf (z.B. öffentliche Register), hohen Schutzbedarf (z.B. Steuerdaten) und sehr hohen Schutzbedarf (beispielsweise Adressen von Zeugen in bestimmten Strafverfahren) gegliedert.

Am Ende findet schließlich die Risikoanalyse statt. Dabei handelt es sich um ein Verfahren zur Risikobestimmung, welches die gleiche Funktionsweise wie ein Standarddatenschutzmodell aufweist. Gemeint ist damit eine Vorgehensweise, mit welcher die rechtlichen Anforderungen aus der DSGVO in konkrete technische und organisatorische Maßnahmen übersetzt werden können. Im Zuge dessen kommt es zur Auswertung der Checklisten. Anhand der Eintrittswahrscheinlichkeit von Schäden und der jeweiligen Höhe wird das Risiko ermittelt, welches eine Verarbeitung mit sich bringt. Eine Datenschutz-Folgenabschätzungen ist grundsätzlich nur bei solchen Verarbeitungen notwendig, welchen ein hohes oder sehr hohes Riskio einer Verletzung von Rechten und Freiheiten innewohnt.

Wer muss die Datenschutz-Folgenabschätzung vornehmen?

Gem. Art. 35 Abs. 1 DSGVO ist die Datenschutz-Folgenabschätzung von der verantwortlichen Stelle durchzuführen. Art. 35 Abs. 2 DSGVO macht allerdings deutlich, dass in diesem Zusammenhang in jedem Fall Beratung und Unterstützung beansprucht werden muss. Hiernach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein. Dies gilt natürlich nur, sofern auch ein Datenschutzbeauftragter benannt wurde. Wann genau ein Datenschutzbeauftragter bestellt werden muss, erfahren Sie hier.

Bei der Beurteilung der Erforderlichkeit und der konkreten Durchführung einer Datenschutz-Folgenabschätzung profitieren verantwortliche Stellen von dem Fachwissen ihres Datenschutzbeauftragten. Auch wenn die DSGVO eine nur beratende Tätigkeit des Datenschutzbeauftragten bei der DSFA vorsieht, ist dies in der Praxis oft anders, da der Datenschutzbeauftragte in diesem Zusammenhang eher federführend agiert.

Zusammenhang zwischen Verarbeitungen und Datenschutz-Folgenabschätzung

Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzungen (DSFA) sind eng miteinander verbunden. Verarbeitungstätigkeiten sind alle Vorgänge, bei denen personenbezogene Daten verarbeitet werden, wie beispielsweise das Erheben, Speichern, Verändern oder Übermitteln von Daten. Datenschutz-Folgenabschätzungen hingegen sind ein Instrument des Datenschutzes, das dazu dient, die Risiken und Auswirkungen von bestimmten Verarbeitungstätigkeiten auf die Rechte und Freiheiten von betroffenen Personen zu bewerten und zu minimieren.

Im Rahmen der DSFA müssen Unternehmen und Organisationen prüfen, ob eine geplante Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt. Dabei müssen sie insbesondere folgende Faktoren berücksichtigen:

Art, Umfang, Zweck und Kontext der Verarbeitung
Art und Sensibilität der personenbezogenen Daten
Anzahl betroffener Personen
Dauer der geplanten Verarbeitung
Geplante Datenübermittlungen an Dritte
Existenz von bereits bestehenden Risiken

Wenn eine DSFA ergibt, dass eine Verarbeitungstätigkeit ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen darstellt, müssen geeignete Maßnahmen ergriffen werden, um dieses Risiko zu minimieren. Dies kann beispielsweise die Implementierung technischer und organisatorischer Maßnahmen zur Datensicherheit, die Durchführung von Schulungen für Mitarbeiter oder die Einholung einer Einwilligung betroffener Personen beinhalten.

Insgesamt stellt die DSFA also eine wichtige Maßnahme zur Sicherstellung des Datenschutzes dar, insbesondere im Hinblick auf Verarbeitungstätigkeiten, die ein erhöhtes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen.

Was passiert, wenn keine DSFA durchgeführt wird?

Wenn trotz Erforderlichkeit eine Datenschutz-Folgenabschätzung nicht durchgeführt wird, droht einerseits ein Bußgeld nach Maßgabe der Art. 83 ff. DSGVO. So drohen nach Art. 83 Abs. 4 DSGVO bei Verstößen gegen Bestimmungen in Bezug auf die Datenschutz-Folgenabschätzung Geldbußen i.H.v. bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erwirtschafteten Jahresumsatzes des vergangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Eine allgemeine Übersicht bezüglich der in Deutschland erlassenen Bußgelder seit Anwendbarkeit der DSGVO sehen Sie hier.

Andererseits kann es durch die Verarbeitung ohne DSFA – neben Bußgeldern – auch zu physischen, materiellen und immateriellen Schäden kommen, wie zum Beispiel Reputationsverlust oder eine Verletzung des allgemeinen Persönlichkeitsrechts.

In diesem Beitrag handelt sich um allgemeine Informationen zum Thema Datenschutz-Folgenabschätzung. Jeder Datenverarbeitungsprozess muss allerdings einzelfallbezogen betrachtet und datenschutzrechtlich begutachtet werden, weshalb dieser Artikel keine allgemeine Gültigkeit beschreibt. Wir freuen uns, Sie individuell zu beraten.

Dipl.-Jurist Serkan Taskin

Dipl. Jur. Serkan Taskin

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.

Akzeptieren
Name	YouTube
Anbieter	Google LLC
Zweck	Diese Webseite verwendet Youtube zu Marketingzwecken. Die Daten werden an einen Server in den USA übertragen und dort gespeichert. Die personenbezogenen Daten werden auf Grundlage des Art. 46 und/oder Art. 49 Abs. 1 lit. a) DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://policies.google.com/privacy

Akzeptieren
Name	Smartlook
Anbieter	Smartsupp.com s.r.o.
Zweck	Dieses Tool erfasst Bewegungen auf den beobachteten Webseiten in sog. Heatmaps. Damit können wir anonymisiert erkennen, wo Besucher klicken und wie weit sie scrollen. Dadurch können wir unsere Webseite besser und kundenfreundlicher gestalten.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.smartlook.com/de/privacy

Akzeptieren
Name	LinkedIn
Anbieter	LinkedIn Corporation
Zweck	LinkedIn Analytics verwendet „Cookies“, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. LinkedIn nutzt diese Informationen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für die Websitebetreiber zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.linkedin.com/legal/privacy-policy

Akzeptieren
Name	Cloudflare
Anbieter	CloudFlare Inc.
Zweck	Der Betreiber dieser Web-Seite nutzt die Funktionen von CloudFlare. Anbieter ist die CloudFlare, Inc. 665 3rd St. 200, San Francisco, CA 94107, USA. CloudFlare bietet ein sog. weltweit verteiltes Content Delivery Network mit DNS an. Die personenbezogenen Daten werden auf Grundlage des Art. 46 DSGVO übermittelt.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://www.cloudflare.com/de-de/gdpr/introduction/

Akzeptieren
Name	hellotrust
Anbieter	Keyed GmbH
Zweck	hellotrust speichert den Zustimmungsstatus des Benutzers für Cookies auf der aktuellen Domain.
Laufzeit	Daten werden gelöscht, sobald sie für die Bearbeitung nicht mehr benötigt werden.
Weiterführende Infos	https://hellotrust.de/datenschutz