Datenschutz-Folgenabschätzung richtig durchführen: So gehts

Ein modernes Zeiterfassungssystem, GPS-Tracking der Firmenfahrzeuge oder die Videoüberwachung der Produktionshalle – in diesen Fällen werden personenbezogene Daten verarbeitet, die mit einem gewissen Risiko für die betroffenen Personen verbunden sind. Für Sie als Unternehmer bedeutet das: In den genannten oder auch in anderen, risikobehafteten Datenverarbeitungen müssen Sie eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchführen. Damit Sie auf der sicheren Seite sind, erfahren Sie in unserem Artikel, wie Sie eine DSFA DSGVO-konform vorbereiten und durchführen.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Frau mit einem digitalen Gesichtserkennungsmuster im Gesicht.
© Westend61 – Getty Images

Datenschutz-Folgenabschätzung: Prozesse müssen einer Risikoabschätzung unterzogen werden

Wenn Sie in Ihrem Unternehmen neue Prozesse, also neue Datenverarbeitungsvorgänge einführen wollen, dann sind Sie dazu verpflichtet, im Vorfeld zu prüfen, ob eine sog. Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Das gilt gleichsam auch für existierende Prozesse, die Sie noch keiner DSFA-Prüfung unterzogen haben. Dabei handelt es sich um ein bestimmtes Vorgehen nach Maßgabe von Art. 35 EU-Datenschutzgrundverordnung (DSGVO), mit dem das Risiko einer (geplanten) Verarbeitungstätigkeit für die davon betroffenen Personen eingeschätzt werden soll.

Um zu prüfen, ob eine Datenschutz-Folgenabschätzung notwendig ist, muss zunächst eine Vorabprüfung erfolgen – die sog. Schwellwertanalyse. Mittels dieser Analyse wird ermittelt, ob ein hohes Risiko zu befürchten ist und daher eine DSFA durchgeführt werden muss. Im besten Fall besteht kein hohes Risiko für Sie als Unternehmer und die Datenverarbeitung kann wie geplant umgesetzt bzw. fortgeführt werden. Im „worst case“ müssen Sie eine DSFA durchführen und – je nach Ergebnis – Ihre zuständige Datenschutzaufsichtsbehörde mit ins Boot holen.

Tipp

Bußgeld bei Pflichtverletzung

Wenn Sie der Pflicht zur Durchführung einer Schwellwertanalyse bzw. einer DSFA nicht nachkommen, droht im schlimmsten Fall ein Bußgeld von bis zu 10 Mio. Euro oder 2 % des gesamten Vorjahresumsatzes (Art. 83 Abs. 4 DSGVO).

Wer ist für die Datenschutz-Folgenabschätzung verantwortlich?

Verantwortlich für die Durchführung einer DSFA ist nicht ein evtl. benannter Datenschutzbeauftragter (DSB), sondern die Leitungsebene, also die Geschäfts-, Behörden- oder Vereinsführung (z. B. der GmbH-Geschäftsführer). Der DSB wird in Bezug auf eine DSFA lediglich beratend und unterstützend tätig. Selbstverständlich muss die Leitungsebene die DSFA nicht selbst durchführen, sie kann dies an Beschäftigte delegieren. Die Leitungsebene ist und bleibt jedoch dafür verantwortlich, dass die DSFA korrekt geprüft und ggf. durchgeführt wird. Sie kann also für etwaige Fehler haftbar gemacht werden. Genau wie für alle anderen Datenschutzmaßnahmen kann die generelle Verantwortung nicht auf Dritte übertragen werden, auch wenn ein DSB oder sogar ein ganzes Beraterteam bestehen sollte.

Datenschutz-Folgenabschätzung erfordert mehrstufige Prüfung

Schwellwertanalyse: Prüfen, ob eine DSFA überhaupt notwendig ist

Um zu prüfen, ob Sie in einem konkreten Fall eine DSFA durchführen müssen, empfiehlt sich ein mehrstufiges Vorgehen. Im Kern dreht sich hierbei alles um die Frage, ob ein hohes Risiko für die Betroffenen besteht bzw. zu befürchten ist. Sie sollten also die folgenden Prüfungsschritte einhalten:

  1. Findet sich die (geplante) Datenverarbeitung auf der sog. Positiv-Liste der Datenschutzaufsichtsbehörden?
  2. Liegt ein gesetzliches Regelbeispiel gem. Art. 35 Abs. 3 DSGVO vor?
  3. Besteht gemessen an den Kriterien der Art.-29-Gruppe ein sonstiges hohes Risiko?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann lautet das Ergebnis Ihrer Schwellwertanalyse, dass Sie eine DSFA durchführen müssen. Daher lohnt es sich, einen näheren Blick auf die Details der drei Punkte zu werfen.

DSK-Positiv-Liste: Datenverarbeitungsvorgänge mit hohem Risiko

In den Positiv-Listen der Aufsichtsbehörden sind diverse Datenverarbeitungsvorgänge enthalten, die regelmäßig mit einem hohen Risiko verbunden sind. So hat beispielsweise die Datenschutzkonferenz (DSK), ein Zusammenschluss der deutschen Datenschutzaufsichtsbehörden, jeweils eine Positiv-Liste für den öffentlichen Bereich (also für Behörden und andere öffentliche Stellen) und für den nicht-öffentlichen Bereich (also für Unternehmen) veröffentlicht. Auf der DSK-Positiv-Liste für den nicht-öffentlichen Bereich finden sich z. B. folgende Verarbeitungsvorgänge:

  • Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung natürlicher Personen (z. B. Fingerabdrucksensoren zur Zutrittskontrolle)
  • umfangreiche Verarbeitung von Daten über den Aufenthalt von Betroffenen (z. B. GPS-Verfolgung von Dienstfahrzeugen)
  • umfangreiche Verarbeitung von Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese in sonstiger Weise erheblich beeinträchtigt werden (z. B. zentrale Aufzeichnung der Aktivitäten, wie etwa E-Mail-Verkehr am Arbeitsplatz mit dem Ziel, unerwünschtes Verhalten von Beschäftigten zu erkennen)
  • Erstellung umfassender Profile über die Interessen, das Netz persönlicher Beziehungen oder die Persönlichkeit der Betroffenen (z. B. Betrieb eines Online-Datingportals)
  • Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und der Verarbeitung der so zusammengeführten Daten (z. B. Analyse von Kauf- und Bonitätsdaten)
  • Einsatz von Künstlicher Intelligenz (KI) zur Verarbeitung von Daten zur Steuerung der Interaktion mit Betroffenen oder zur Bewertung persönlicher Aspekte (z. B. Kundensupport mittels künstlicher Intelligenz)
  • Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen (z. B. Betrieb eines Treue- / Bonuspunkte-Programms für Kunden)

Tipp

DSK-Positiv-Liste

Die DSK-Positiv-Liste findet sich online u. a. auf der Website des Bayerischen Landesamtes für Datenschutzaufsicht und kann dort kostenfrei heruntergeladen werden.

Datenschutz-Folgenabschätzung: Pflicht für Prozesse gemäß DSK-Positiv-Liste oder Art. 35 Abs. 3 DSGVO

Sofern Sie also planen, eine der auf der DSK-Liste enthaltenen Prozesse ein- bzw. fortzuführen, dann müssen Sie auf jeden Fall eine DSFA durchführen. Wenn Sie hier nicht fündig werden, bedeutet das allerdings nicht, dass Sie von der DSFA-Pflicht befreit sind. Denn dann könnte eine solche auch noch deshalb bestehen, weil Ihre (geplante) Datenverarbeitung einem gesetzlichen Regelbeispiel aus Art. 35 Abs. 3 DSGVO entspricht. Danach ist eine DSFA durchzuführen für:

  • systematische und umfassende Bewertungen persönlicher Aspekte natürlicher Personen, die sich auf eine automatisierte Verarbeitung (einschließlich Profiling) gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber den Betroffenen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (z. B. Detektiv-Dienstleistungen, Betrieb eines Online-Werbenetzwerkes oder KI-gestützte Analyse von Bewerbungsgesprächen),
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 9, 10 DSGVO (z. B. Durchführung medizinischer Studien durch eine Klinik bzw. einen Dienstleister) oder für
  • systematische umfangreiche Überwachungen öffentlich zugänglicher Bereiche (z. B. Videoüberwachung an Bahnhöfen oder Flugplätzen).

Auch hier lassen die einzelnen Beispiel-Szenarien schon erahnen, dass es um sehr riskante Datenverarbeitungsvorgänge geht. Alltägliche Prozesse wie Personalaktenführung, Versand von Werbung oder Datenübermittlung an den Steuerberater werden hier offenkundig nicht erfasst. Allerdings kann bereits die (geplante) Anbringung einer Überwachungskamera auf dem Parkplatz vor dem Bürogebäude dazu führen, dass Sie zumindest eine Schwellwertanalyse durchführen und dokumentieren müssen.

Datenschutz-Folgenabschätzung: Artikel-29-Datenschutzgruppe

Sofern Sie weder auf der DSK-Liste noch in Art. 35 Abs. 3 DSGVO einen Prozess finden, der auf Ihren passt, kann gleichwohl ein hohes Risiko vorliegen. Um ein solches in der Praxis besser einschätzen bzw. abwägen zu können, hat die Art.-29-Gruppe – der Vorläufer des jetzigen Europäischen Datenschutzausschusses (EDSA) – in ihrem „Working Paper 248“ neun verschiedene Kriterien aufgestellt. Wenn mindestens zwei davon vorliegen, ist ein hohes Risiko für die betreffende Datenverarbeitung anzunehmen:

  • Evaluierung- bzw. Scoring-Maßnahmen
  • automatisierte Entscheidung mit rechtlicher Relevanz o. ä. Wirkung für den Betroffenen (z. B. Profiling)
  • systematische Beobachtung von Betroffenen
  • Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9, 10 DSGVO)
  • in großem Umfang verarbeitete personenbezogene Daten
  • Abgleich bzw. Kombination verschiedener Datensätze
  • personenbezogene Daten verletzlicher Datensubjekte (z. B. von Prominenten oder Kindern)
  • Einsatz neuartiger Lösungen / Technologien
  • Übermittlung von personenbezogenen Daten in unsichere Drittstaaten
  • Datenverarbeitungen, die Betroffene davon abhalten, ihre Rechte geltend zu machen oder einen Dienst bzw. Vertrag zu nutzen

Wenn Sie also beispielsweise planen, ein neuartiges KI-System zur automatisierten Auswahl von Bewerbern einzusetzen und dabei Kriterien, wie etwa das Tragen einer Brille, eine Rolle spielen, erfüllen Sie jedenfalls zwei der genannten Kriterien und wären voll in der DSFA-Pflicht.

Tipp

Working Paper 248 zum Download

Das „Working Paper 248“ der Art.-29-Gruppe kann beispielsweis auf der Website des Hamburgischen Datenschutzbeauftragten kostenfrei heruntergeladen werden.

Durchführung einer Datenschutz-Folgenabschätzung

Wenn Sie zur Durchführung einer DSFA verpflichtet sind, müssen Sie zunächst Ihren DSB – sofern vorhanden und noch nicht geschehen – hinzuziehen und die DSFA durchführen. Hierbei handelt es sich um ein mehr oder weniger umfangreiches Dokument mit bestimmten Pflichtinhalten. Nach Maßgabe von Art. 35 Abs. 7 DSGVO sind jedenfalls folgende Angaben zu leisten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der entsprechende Nachweis dafür erbracht wird.

Wenn Sie einen Blick auf eine sehr umfangreiche DSFA werfen möchten, nämlich die zur Corona-Warnapp, dann finden Sie diese als kostenfreien Download im Netz.

Tipp

PIA-Tool für die erleichterte Umsetzung

Um Ihnen die Umsetzung einer DSFA in der Praxis zu erleichtern, empfiehlt es sich, das sog. PIA-Tool der französischen Aufsichtsbehörde CNIL zu verwenden. Dieses liegt u. a. in einer deutschen Sprachfassung vor, ist kostenfrei nutzbar und führt Sie schrittweise durch eine DSFA. Zudem enthält es eine Beispiel-DSFA sowie ergänzende Informationen zum Thema.

Datenschutz-Folgenabschätzung: Wann ist die Aufsichtsbehörde zu informieren?

Ergibt die Schwellwertanalyse, dass ein hohes Risiko besteht, und ergibt die anschließende DSFA, dass keine Maßnahmen getroffen werden können, um ein solches zu senken, dann müssen Sie die für Sie zuständige Aufsichtsbehörde darüber informieren. Diese hat dann zu entscheiden, ob ggf. doch geeignete Maßnahmen getroffen werden können, um die (geplante) Datenverarbeitung ein- bzw. durchzuführen. Zu diesem Zweck müssen Sie der Behörde bestimmte Mindestinformationen zur Verfügung stellen (Art. 36 Abs. 3 DSGVO), wie etwa die Zwecke der Verarbeitung, die dokumentierte DSFA oder auch ggf. die Kontaktdaten des DSB. Die Aufsichtsbehörde kann Ihnen dann die Ein- bzw. Durchführung des Verarbeitungsvorgangs gestatten, falls Sie Ihre Risikoeinschätzung nicht teilt, oder Sie kann Ihnen bestimmte Maßnahmen auferlegen, mit denen das Risiko gesenkt werden kann. Letztlich kann die Aufsichtsbehörde Ihnen aber auch gänzlich untersagen, den geprüften Prozess ein- bzw. weiter durchzuführen.

Tipp

DFSA: Weiterführende Informationen

Weiterführende Informationen rund um das Thema DSFA finden sich u. a. auf der Website der IHK München.