DIE DATENSCHUTZ-FOLGENABSCHÄTZUNG (SFA)...

Hier finden Sie Informationen, Hilfen und Muster rund um das Thema Datenschutz-Folgenabschätzung.

A. Was ist eine Datenschutz-Folgenabschätzung?
Unter einer Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO ist ein Verfahren zu verstehen, welches die Notwendigkeit und Verhältnismäßigkeit bestimmter Verarbeitungen bewertet, die Risiken für personenbezogene Daten natürlicher Personen abschätzt, kontinuierlich überwacht und diese durch die Ermittlung von Gegenmaßnahmen besser kontrollieren soll.[1] Es handelt sich dabei um einen fortlaufenden Prozess. Die Nichteinhaltung einer notwendigen Folgenabschätzung ist bußgeldbewährt.[2] Eine DSFA kann für eine oder zugleich mehrere ähnliche Verarbeitungsvorgänge durchgeführt werden.[3] Die Pflicht zur Durchführung der Datenschutz-Folgenabschätzung trifft ausschließlich den Verantwortlichen i. S. d. Art. 4 Nr. 7 DSGVO.[4]

B. Notwendigkeit einer Datenschutz-Folgenabschätzung
Sofern für den fraglichen Verarbeitungsvorgang keine Ausnahme gilt, muss eine DSFA immer dann durchgeführt werden, wenn ein Verarbeitungsvorgang für die Rechte und Freiheiten natürlicher Personen „wahrscheinlich ein hohes Risiko mit sich bringt“, Art. 35 Abs. 1 DSGVO.[5]

Art. 35 Abs. 3 lit. a bis c DSGVO führt exemplarisch Regelkriterien auf, die charakterisieren, wann ein Verarbeitungsvorgang wahrscheinlich ein hohes Risiko mit sich bringt.

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

Anmerkung: Die Erforderlichkeit leitet sich aber noch nicht aus diesen Umständen selbst ab. Dieses Regelbeispiel verlangt, dass diese Bewertung wiederum gerade als Basis für Entscheidungen genutzt wird, die eine Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen. Diese könnten möglicherweise Persönlichkeitstests oder Scorewertberechnungen sein.[6]

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

Anmerkung: Eine umfangreiche Verarbeitung wird z. B. bei einem einzelnen niedergelassenen Arzt verneint, liegt jedoch bei einer Praxisgemeinschaft bereits vor.[7]

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Anmerkung: Typische Anwendungsfelder können die Videoüberwachung mittels „optisch-elektronischer Vorrichtungen" sein, aber auch bspw. WiFi-Tracking im öffentlichen Raum.[8]

Unklar ist aber, wann abseits dieser Regelkriterien von einem „hohen Risiko“ gem. Art. 35 Abs. 1 DSGVO in Abgrenzung zu einem „normalen“ Risiko auszugehen ist. Diese Unterscheidung findet lediglich in Erwägungsgrund 76 DSGVO eine kurze Erwähnung. Zur Abgrenzung wird das hohe Risiko in den Erwägungsgründen 89, 91 und 94 DS-GVO durch Beispiele untersetzt, z. B. wenn Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren.[9]

Aus diesen genannten Elementen und unter Berücksichtigung der weiteren Kriterien aus Art. 35 DSGVO sowie den zugehörigen Erwägungsgründen müssen gem. WP 248 Rev. 01 der Art. 29 – Datenschutzgruppe vom 4. 10. 2017 folgende neun Kriterien berücksichtigt werden, um zu ermitteln, ob ein Verarbeitungsvorgang aufgrund seines hohen Risikos eine DSFA erfordert:[10]

1. Bewerten oder Einstufen: darunter fällt das Erstellen von Profilen und Prognosen, insbesondere auf der Grundlage von „Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen (Erwägungsgründe 71 und 91).
Bsp:
- ein Finanzinstitut, das eine von Kreditauskunfteien betriebene Datenbank, eine im Sinne der Verfahren für die Bekämpfung der Geldwäsche und der Terrorismusfinanzierung eingerichtete Datenbank oder eine Betrugsdatenbank nach seinen Kunden durchsucht,
- ein Biotechnologie-Unternehmen, das sich zwecks genetischer Tests direkt an Verbraucher wendet, um die Erkrankungs-/Gesundheitsrisiken abschätzen bzw. prognostizieren zu können,
- ein Unternehmen, das anhand der Nutzung seiner Website bzw. der Navigation der Website durch die Nutzer Verhaltens- oder Marketingprofile erstellt.

2. Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsame Wirkung: Darunter ist eine Verarbeitung zu verstehen, auf deren Grundlage für Betroffene Entscheidungen getroffen werden sollen, „die Rechtswirkung gegenüber natürlichen Personen entfalten“ oder diese „in ähnlich erheblicher Weise beeinträchtigen“ (Art. 35 Abs. 3 lit. a DSGVO). So kann die Verarbeitung beispielsweise zum Ausschluss oder zur Benachteiligung von Personen führen. Verarbeitungsvorgänge, die keine oder wenige Auswirkungen auf Personen haben, erfüllen nicht dieses spezielle Kriterium.

3. Systematische Überwachung: Verarbeitungsvorgänge, die die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel haben und auf bspw. über Netzwerke erfasste Daten oder auf „eine systematische [...] Überwachung öffentlich zugänglicher Bereiche“ (Artikel 35 Abs. 3 lit. c DSGVO) zurückgreifen. Diese Form der Überwachung stellt ein Kriterium dar, weil die personenbezogenen Daten möglicherweise in Situationen erfasst werden, in denen die Betroffenen unter Umständen nicht wissen, wer ihre Daten erfasst und wie die Daten verwendet werden. Darüber hinaus kann es vorkommen, dass die Betroffenen keine Möglichkeit haben, eine solche Verarbeitung ihrer in der Öffentlichkeit (oder in öffentlich zugänglichen Bereichen) erfassten Daten zu verhindern.

4. Vertrauliche Daten oder höchstpersönliche Daten: Hierzu zählen vor allem besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DSGVO sowie personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten i. S. v. Art. 10 DSGVO.
Bsp.: ein Krankenhaus, das die Krankenakten seiner Patienten archiviert, oder ein Privatdetektiv, der Akten zu Straftätern führt.
Darüber hinaus gibt es weitere Datenkategorien, die zwar nicht in den DSGVO-Bestimmungen aufgeführt sind, jedoch die möglichen Risiken für die Rechte und Freiheiten von Personen erhöhen können. Diese personenbezogenen Daten gelten als vertraulich, da die mit häuslichen und privaten Aktivitäten verknüpft sind (wie etwa die elektronische Kommunikation, deren Vertraulichkeit geschützt werden muss), sich auf die Ausübung eines der Grundrechte auswirken (wie etwa Standortdaten, deren Erfassung die Freizügigkeit in Frage stellt) oder die Verletzung derselben mit ernsthaften Konsequenzen für den Alltag des Betroffenen einhergeht (wie etwa Finanzdaten, die für den Zahlungsbetrug missbraucht werden könnten). In diesem Zusammenhang kann es von Bedeutung sein, ob die Daten durch den Betroffenen oder durch Dritte bereits öffentlich zugänglich gemacht worden sind. Die öffentliche Zugänglichkeit personenbezogener Daten kann als bestimmender Faktor gelten, wenn beurteilt werden soll, ob eine weitere Nutzung der Daten für bestimmte Zwecke vorgesehen war. In dieses Kriterium können auch Daten wie persönliche Dokumente, E-Mails, Tagebücher, Notizen aus E-Readern mit Notizfunktion sowie über Lifelogging-Anwendungen erfasste, sehr persönliche Informationen fallen.

5. Datenverarbeitung in großem Umfang: Zwar ist „in großem Umfang“ in der DSGVO nicht definiert, aber Erwägungsgrund 91 liefert einige Hinweise. In jedem Fall empfiehlt die WP29 die Berücksichtigung speziell folgender Faktoren, wenn ermittelt werden soll, ob die fragliche Verarbeitung in großem Umfang durchgeführt wird:
a. Zahl der Betroffenen, entweder als konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe;
b. verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente;
c. Dauer oder Dauerhaftigkeit der Datenverarbeitung;
d. geografisches Ausmaß der Datenverarbeitung.

6. Abgleichen oder Zusammenführen von Datensätzen: z. B. solcher Datensätze, die aus zwei oder mehreren Datenverarbeitungsvorgängen stammen, die zu unterschiedlichen Zwecken und/oder von verschiedenen für die Datenverarbeitung Verantwortlichen durchgeführt wurden, und zwar in einer Weise, die über die vernünftigen Erwartungen der Betroffenen hinausgeht.

7. Daten zu schutzbedürftigen Betroffenen (Erwägungsgrund 75): Die Verarbeitung dieser Art von Daten stellt ein Kriterium dar, weil zwischen den Betroffenen und dem für die Datenverarbeitung Verantwortlichen ein größeres Machtungleichgewicht vorliegt; d. h. den Personen ist es unter Umständen nicht ohne Weiteres möglich, der Verarbeitung ihrer Daten zuzustimmen bzw. zu widersprechen oder ihre Rechte auszuüben. Als schutzbedürftige Betroffene gelten bspw. Kinder, Arbeitnehmer, Teile der Bevölkerung mit besonderem Schutzbedarf (psychisch Kranke, Asylbewerber, Senioren, Patienten usw.) und Betroffene in Situationen, in denen ein ungleiches Verhältnis zwischen der Stellung des Betroffenen und der des für die Verarbeitung Verantwortlichen vorliegt.

8. innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen, wie etwa die Kombination aus Fingerabdruck- und Gesichtserkennung zum Zwecke einer verbesserten Zugangskontrolle usw. Aus der DSGVO (Art. 35 Abs. 1 DSGVO und Erwägungsgründe 89 und 91) wird deutlich, dass der Einsatz einer neuen Technologie, die „entsprechend dem jeweils aktuellen Stand der Technik“ (Erwägungsgrund 91) als solche einzuordnen ist, der Grund für die Notwendigkeit einer DSFA sein kann. Das liegt daran, dass der Einsatz einer solchen Technologie mit neuartigen Formen der Datenerfassung und -nutzung einhergehen kann, was möglicherweise ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt. Persönliche und gesellschaftliche Folgen, die der Einsatz einer neuen Technologie haben kann, sind oft kaum absehbar. Bspw. könnten sich einige Anwendungen des „Internet der Dinge“ erheblich auf den Alltag und das Privatleben von Personen auswirken und somit eine DSFA obligatorisch machen.

9. Fälle, in denen die Verarbeitung an sich „die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindert“ (Art. 22 DSGVO und Erwägungsgrund 91). Hierzu zählen Verarbeitungsvorgänge, mit deren Hilfe Betroffenen der Zugriff auf eine Dienstleistung oder der Abschluss eines Vertrags gestattet, geändert oder verwehrt werden soll. Bsp.: eine Bank, die eine von Kreditauskunfteien betriebene Datenbank nach ihren Kunden durchsucht, um über Kreditvergaben zu entscheiden.

Erfüllt ein Verarbeitungsvorgang zwei dieser Kriterien, muss der für die Datenverarbeitung Verantwortliche in den meisten Fällen zu dem Schluss kommen, dass eine DSFA obligatorisch ist.[11]
In einigen Fällen kann es jedoch vorkommen, dass ein für die Datenverarbeitung Verantwortlicher von der Notwendigkeit einer DSFA ausgehen muss, obwohl der fragliche Verarbeitungsvorgang nur eines dieser Kriterien erfüllt. Andersherum kann es natürlich sein, dass der Verantwortliche zum Entschluss kommt, dass er keine DSFA durchführt, obwohl Risikofaktoren vorliegen. Dies sollte dann genau und nachvollziehbar begründet werden können.

Die vorgenannte Liste bzw. Aufzählung der Art. 29 – Datenschutzgruppe ist jedoch nicht abschließend, sondern beschreibt eine konkretere Menge an Verarbeitungsvorgängen, für die eine DSFA obligatorisch ist.[12]

Zudem werden in den sogenannten „Blacklists“ der Aufsichtsbehörden Verarbeitungsvorgänge beschrieben, welche in jedem Fall eine DSFA erforderlich machen. Die Pflicht zur Erstellung und Veröffentlichung dieser Listen ergibt sich aus Art. 35 Abs. 4 DSGVO.[13] Diese Listen sollen vor allem Transparenz für die Betroffenen gewährleisten und Klärungslücken schließen, welche durch die offene Formulierung des Art. 35 Abs. 1 DSGVO aufkommen.[14]

C. Unter welchen Umständen kann von einer DSFA abgesehen werden?
Nach Ansicht der Art. 35 DSGVO ist in folgenden Fällen keine DSFA erforderlich:

  • wenn die Verarbeitung „wahrscheinlich [kein] hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt (Art. 35 Abs. 1 DSGVO);
  • wenn sich die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von denen einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, nur in geringem Maße unterscheiden. In diesen Fällen können die DSFA-Ergebnisse einer solchen ähnlichen Verarbeitung verwendet werden (Art. 35 Abs. 1 DSGVO);
  • falls ein Verarbeitungsvorgang gemäß Art. 6 Abs. 1 lit. c oder e DSGVO auf einer Rechtsgrundlage im Unionsrecht oder im Recht der Mitgliedstaaten beruht und diese Rechtsvorschrift den konkreten Verarbeitungsvorgang regelt und falls bereits im Rahmen der Schaffung dieser Rechtsgrundlage eine DSFA erfolgte (Art. 35 Abs. 10 DSGVO), es sei denn, ein Mitgliedstaat erklärt, dass es notwendig ist, vor den fraglichen Verarbeitungstätigkeiten eine DSFA durchzuführen [15];
  • falls der Verarbeitungsvorgang auf einer (von der Aufsichtsbehörde erstellten) optionalen Liste („Whitelist“) der Verarbeitungsvorgänge aufgeführt ist, für die keine DSFA erforderlich ist (Art. 35 Abs. 5 DSGVO). Eine solche Liste kann Verarbeitungstätigkeiten enthalten, die die Voraussetzungen dieser Behörde erfüllen, die sie insbesondere in Form von Leitlinien, besonderen Beschlüssen oder Genehmigungen, Konformitätsvorschriften usw. festgelegt haben. In solchen Fällen, die einer Überprüfung durch die zuständige Aufsichtsbehörde unterliegen, ist nur dann keine DSFA erforderlich, wenn die Verarbeitung genau einem Geltungsbereich des jeweils in der Liste aufgeführten Verfahrens entspricht und weiterhin ausnahmslos alle zutreffenden Voraussetzungen der DSGVO erfüllt. Eine Whitelist oder Negativliste ist von den Aufsichtsbehörden in Deutschland noch nicht erstellt worden.[16]


D. Inhalt einer Datenschutz-Folgenabschätzung
Der Mindestinhalt einer DSFA wird durch Art. 35 Abs. 7 lit. a bis d DSGVO festgelegt.

a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
Anmerkung: Art. 35 Abs. 7 lit. a DSGVO definiert die Anforderungen an die sog. Vorbereitungsphase.[17]
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
Anmerkung: Die eigentliche Bewertungsphase gleicht die Verarbeitungsvorgänge sowie -zwecke mit den einschlägigen rechtlichen Vorgaben ab. Die Verarbeitungsvorgänge sind daraufhin zu evaluieren, inwieweit diese für den Zweck notwendig und verhältnismäßig sind.[18]
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
Anmerkung: Art. 35 Abs. 7 lit. c DSGVO fordert eine Identifikation und Bewertung der Risiken der Verarbeitungsvorgänge für die Rechte und Freiheiten der betroffenen Personen und ist zentraler Bestandteil der Datenschutz-Folgenabschätzung.[19] Erwägungsgrund 90 DSGVO nennt hier die spezifische Eintrittswahrscheinlichkeit des Risikos sowie die Schwere und die Ursachen des Risikos. Auch die Erwägungsgründe 75 bis 77, 84 und 85 DSGVO geben Hilfestellung. Hinweise zur Bewertung können auch dem Kurzpapier der DSK entnommen werden sowie den Leitlinien der Art. 29-Datenschutzgruppe.
Die Bewertung sollte in vier Schritten erfolgen:

  • Identifikation von Bewertungsmaßstäben anhand der Gewährleistungsziele des Standarddatenschutzmodells,
  • Identifikation möglicher Angreifer und Risikoquellen,
  • Ermittlung der Eingriffsintensität und des Schutzbedarfs sowie
  • Bewertung des Risikos.[20]

d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Anmerkung: Im Anschluss sind die zur Bewältigung der identifizierten Gefahren geplanten Abhilfemaßnahmen darzulegen. Insgesamt soll von Verantwortlichen der Nachweis erbracht werden, dass die DSGVO eingehalten und den Rechten und berechtigten Interessen betroffener Personen und sonstiger Betroffener Rechnung getragen wird. Ziel ist es, voraussehbare hohe Risiken auszuschließen oder unter eine kritische Schwelle zu bringen. [21]

E. Form der Datenschutz-Folgenabschätzung

Anforderungen an die Form existieren nicht, wodurch (unter Beachtung der Dokumentations- und Nachweispflicht des Art. 5 Abs. 2 DSGVO) jegliche Form denkbar ist. In der Praxis bietet sich die Dokumentation in Textform bzw. elektronischer Form an.[22]

F. Ablauf der Datenschutz-Folgenabschätzung
Die DSFA ist „vor den betreffenden Verarbeitungstätigkeiten“ durchzuführen (Art. 35 Abs. 1 und Abs. 10 DSGVO, Erwägungsgründe 90 und 93).[23]
Der Ablauf des Verfahrens entspricht einer logischen Struktur und ist in den meisten Fällen ähnlich aufgebaut. In dieser Ausarbeitung wurde die DSFA in folgende Phasen, die sich am Handbuch zur Datenschutzfolgenabschätzung des Fraunhofer Instituts orientiert[24], unterteilt:
1. Notwendige Vorarbeiten
2. Initiierungsphase
3. Vorbereitungsphase
4. Durchführungsphase
5. Umsetzungsphase
6. Nachhaltigkeitsphase

1. Notwendige Vorarbeiten
Zur Durchführung einer DSFA müssen bestimmte Informationen vorab vorliegen. Diese sind das Verzeichnis der Verarbeitungstätigkeiten (VVT), eine Dokumentation der Rechtsgrundlage der Verarbeitung und eine Bewertung der Notwendigkeit der geplanten Verarbeitung bezogen auf ihren Zweck. Fehlen diese, ist eine DSFA aufgrund der Komplexität der betrachteten Prozesse nur schwer durchführbar.
Nicht erforderlich, aber dennoch sinnvoll ist es, bereits zu vor Beginn der DSFA eine – explizit provisorische und noch nicht abschließende – Vorab-Bewertung der Verhältnismäßigkeit der geplanten Verarbeitung zu erstellen, um frühzeitig auf ggf. vorhandene Unverhältnismäßigkeiten reagieren zu können.[25]
Beteiligte
Da Risiken für die betroffenen Personen prinzipiell von jedem an der Verarbeitung Beteiligten ausgehen könnte, ist es ratsam diese vorab zu identifizieren und möglichst auch deren Vertreter mit einzubeziehen.

2. Initiierungsphase
Es empfiehlt sich bei der Planung und Entwicklung neuer Verarbeitungen frühzeitig zu prüfen, ob eine DSFA notwendig ist. Diese Funktion soll die Initiierungsphase oder auch sog. Schwellenwertanalyse erfüllen.
Gemäß Art. 35 Abs. 1 DSGVO muss eine DSFA durchgeführt werden, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Um zu prüfen, ob ein solches hohes Risiko voraussichtlich besteht, sollten die folgenden drei Informationsquellen genutzt werden:

  • Vorgaben des Art. 35 Abs. 3 DSGVO
  • Positivlisten („Muss-Listen“) der Aufsichtsbehörden
  • Kriterien der Art.-29 Datenschutzgruppe

Daneben ist eine ergänzende eigenständige Prüfung der voraussichtlichen Höhe und Existenz von Risiken für Rechte und Freiheiten natürlicher Personen unabdingbar.

Bsp:
Bewertung der Verarbeitung (ob ein hohes Risiko vorliegt) anhand der neun Risikokriterien:
Sind mindestens zwei oder mehr dieser, als besonders riskant geltender Kriterien erfüllt, so ist die Wahrscheinlichkeit hoch, dass eine Datenschutz-Folgenabschätzung durchzuführen ist.[26]
Für diese teils aufwändige Vorprüfung empfiehlt sich eine Vorlage zur „DSFA-Erforderlichkeitsprüfung“.

3. Vorbereitungsphase
In dieser Phase werden die für die Durchführung notwendigen Unterlagen und Informationen zur Verarbeitung, relevanten Datenflüsse und technischen Systemen, den betroffenen Personen sowie der Rechtsgrundlage gesammelt, damit eine systematische Beschreibung der geplanten Verarbeitungsvorgänge erstellt, das DSFA-Team zusammengestellt und die DSFA geplant werden kann.
Ergibt die Schwellwertanalyse, dass eine DSFA durchgeführt werden muss, ist eine systematische Beschreibung der geplanten Verarbeitungsvorgänge (Art. 35 Abs. 7 lit. a DSGVO) und des konkreten Kontextes aus technischer, rechtlicher und organisatorischer Sicht zu erstellen. In diesem Zusammenhang sind auch die betroffenen Personen und die Beteiligten zu identifizieren. Außerdem muss in dieser Phase das Team für die Durchführung der DSFA zusammengestellt und die folgende Durchführungsphase der DSFA geplant werden.[27]
Sammlung von Informationen und Beschreibung der Verarbeitungsvorgänge und der Zwecke der Verarbeitung
Die Erstellung einer systematischen Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung erfüllt den ersten der vier in Art. 35 Abs. 7 lit. a - d DSGVO benannten inhaltlichen Anforderung an die DSFA.
Der Zweck sollte bereits im Verarbeitungsverzeichnis vorgegeben sein. GGf. können auch „neue“ Zwecke „entdeckt“ werden, welche aufzuführen sind.[28]
Um die Verarbeitungsvorgänge (manchmal auch „Prüfgegenstand“ genannt) sinnvoll beschreiben zu können, ist es i. d. R. zweckdienlich folgende Informationen zu erfassen:

  • Betroffene Personen, verarbeitete personenbezogene Daten, Datenflüsse, weitere Beteiligte, (geplante) Prozesse;
  • Dokumentation der (geplanten) technischen Umsetzung, technische Infrastruktur, bereits technische und organisatorische Maßnahmen;
  • Ggf. Betroffenenvertreter (z. B. Betriebsrat, Personalrat), Organisation, Auftragsverarbeiter, Joint Controller (gemeinsam für die Verarbeitung Verantwortliche), Verträge etc.

Identifikation der betroffenen Personen
Um die betroffenen Personen einer Verarbeitung verlässlich zu identifizieren, kann es hilfreich sein, drei Fragen zu beantworten:
1. Wessen Daten soll das System erfassen?
2. Wessen Daten werden zusätzlich noch erfasst, auch indirekt („Beifang“)?
3. Auf wen sonst könnten Rückschlüsse auf Grundlage der erhobenen oder verarbeiteten Daten möglich sein?
Typische Kategorien betroffener Personen sind z. B.:

  • Beschäftigte der Organisation sowie die Belegschaft von Kunden, Zulieferer oder Dienstleister;
  • Kunden und Nutzer sowie ihre Angehörigen, Freunde und weitere Personen, (z. B. auch Beifahrer, oder als anwesende Person in einem Raum mit Spracherkennungsgeräten);
  • Patienten, Pflegeheimbewohner, Schüler und staatliche Leistungsempfänger sowie ihre Angehörigen, Freunde und weitere Personen;
  • Versicherungsnehmer und Empfänger sonstiger Finanzdienstleistungen sowie ihre Angehörigen;
  • Unbeteiligte Bürger und Passanten (z. B. bei Videoüberwachung).

Identifikation weiterer Beteiligter
Um alle Beteiligten zu identifizieren, kann es hilfreich sein, folgende Fragen zu beantworten:

  • Welche interne und externe Beteiligte – einschließlich Auftragsverarbeiter – sind aktiv an der Verarbeitung beteiligt?
  • Wer hat noch Zugriff auf die Daten und Verarbeitungsvorgänge (ohne bereits aktiv an der Verarbeitung beteiligt zu sein) oder könnte anderweitig den Verarbeitungsvorgang beeinflussen oder ausnutzen?
  • Welche Interessen haben die identifizierten Beteiligten, die sie mittels der Daten oder sonstiger Einflussnahme auf die Verarbeitungsvorgänge haben könnten, auch über den definierten Zweck der Verarbeitung hinaus?
  • Welche sonstigen internen oder externen Beteiligten, die noch nicht aktiv in die Verarbeitung involviert sind, könnten sich für die Daten und/oder Verarbeitungsvorgänge interessieren und motiviert und fähig sein, sich Zugang oder Einflussmöglichkeiten zu verschaffen?
  • Wer sonst könnte noch Zugriff oder Einflussmöglichkeit bekommen, möglicherweise ungewollt, und wenn ja, wie?

DSFA-Team
Eine DSFA wird meist von einem Team durchgeführt, da Einzelpersonen selten über alle relevanten Wissensbestände verfügen. Die genaue Team-Zusammensetzung wird von Organisation zu Organisation variieren. Es ist aber i. d. R. zweckmäßig, dass folgende Kompetenzen und Abteilungen vertreten sind:
 juristische Expertise, insbesondere im Datenschutzrecht

  • Operativer Datenschutz und die Datenschutzbeauftragte
  • IT-Expertise
  • (relevante) Fachabteilungen einschließlich ihrer Mitarbeiterinnen
  • (ggf.) Betriebsrat und Vertreter der betroffenen Personen
  • (ggf.) Auftragsverarbeiter und externe IT-Dienstleister


4. Durchführungsphase
Hier werden die vorher erhobenen Informationen validiert, die Risikoidentifikation, -analyse und -bewertung durchgeführt, passende Abhilfemaßnahmen ausgewählt und die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung bewertet.
Ermittlung der Schadenskategorien
Das Risiko bei der Verarbeitung von personenbezogenen Daten kann grundsätzlich „als Sachverhalt, in dem ein Schadenseintritt an einem Schutzgut möglich ist“, interpretiert werden.[29]
Grundsätzlich gilt, dass sich ein Risiko aus der Schwere der Beeinträchtigung der Rechte und Freiheiten von natürlichen Personen (Eingriffsintensität), aus der sich die möglichen mittel- und unmittelbaren physischen, materiellen bzw. immateriellen Schäden und deren Ausmaß für die betroffenen Personen bestimmen lassen, und der Eintrittswahrscheinlichkeit ermitteln lässt. Der Bezug zur Schwere des Schadens lässt sich mittels Erwägungsgrund 75 DS-GVO herstellen, in dem zumindest exemplarisch Schadensszenarien beschrieben werden (Risikokatalog).[30]
z. B.:

  • Diskriminierung
  • Identitätsdiebstahl
  • Lebensgefahr
  • Existenzgefährdung
  • Finanzieller Schaden
  • Rufschädigung
  • Bloßstellung
  • Verlust des Arbeitsplatzes
  • Geheimnisoffenbarung
  • Gesellschaftliche Nachteile
  • Wirtschaftliche Nachteile
  • weitere Schadenskategorien möglich

Schwere des Schadens
Im nächsten Schritt sind diese Schadenseintritte anhand ihrer Schwere zu gewichten, d. h. ist ein bestimmter Schaden für den Betroffenen eher gering, überschaubar oder z. B. sehr hoch, sodass er dessen gesamtes Lebensumfeld betrifft.

Maßnahmen festlegen

Im Anschluss an die ausführliche Risikoanalyse und die Bewertung der Risikoelemente, erfolgt die Festlegung geeigneter Maßnahmen, insbesondere durch technische und organisatorische Maßnahmen (TOMs), um mögliche Schadenseintritte zu verhindern bzw. abzumildern. Es kann sich anbieten, diese unter den Kategorien Garantien, Sicherheitsvorkehrungen und Verfahren zu ordnen und zu beschreiben.[31]
Verbleibende Restrisiken werden ermittelt und dokumentiert. [32]
Sollte sich nach der Festlegung der möglichen Maßnahmen dennoch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen vorliegen, sollte die zuständige Aufsichtsbehörde zu Rate gezogen werden.[33]

5. Umsetzungsphase
Sofern die ausgewählten Abhilfemaßnahmen die Risiken ausreichend eindämmen können und die Verarbeitung weiterverfolgt werden soll, müssen diese Maßnahmen in einem weiteren Schritt umgesetzt werden.
Die Wirksamkeit der Maßnahmen ist zu testen, soweit vor Freigabe der Verarbeitung möglich, und die Testergebnisse sind zu protokollieren. Die Tests sollten auf Basis eines zu erstellenden Testkonzepts nach Freigabe der Verarbeitung regelmäßig durchgeführt und die Ergebnisse protokolliert werden. Sollten in diesem Prozess neue Risiken identifiziert werden, müssen diese entsprechend der zuvor beschriebenen Vorgehensweise behandelt werden.[34]

Dokumentation / Bericht
Schlussendlich sind die systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, die Beschreibung und Beurteilung der Risiken sowie der Abhilfemaßnahmen zur Risikoeindämmung gem. Art. 35 Abs. 7 DSGVO in einem Bericht darzustellen, welcher sich an den Phasen der DSFA orientiert. [35]

6. Nachhaltigkeitsphase
Nach Abschluss eines DSFA-Zyklus müssen geeignete Maßnahmen zur Nachhaltigkeit getroffen werden.
Gem. Art. 35 Abs. 11 DSGVO ist zudem der Verantwortliche verpflichtet (regelmäßige) Überprüfungen vorzunehmen, um zu bewerten, ob die betreffende Verarbeitung auch gemäß der Datenschutz-Folgenabschätzung durchgeführt wird.[36]
Dementsprechend sind Anpassungen der DSFA vorzunehmen, wenn sich hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen ergeben haben.[37]

_________________________________

[1] Ferik, in: Schwartmann, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 1; Syckor/Strufe/Lauber-Rönsberg, in: ZD 2019, 390.
[2] Schmitz/von Dall’Armi, in: ZD 2017, 57 (61).
[3] Raum, in: Auernhammer, Kommentar zur DSGVO, Art. 35 DS-GVO, Rn. 16.
[4] Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 9; Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 35 DS-GVO, Rn. 14a; Gardyan-Eisenlohr/Cornelius, in: Moos/Schefzig, Praxishandbuch Datenschutzrecht, S. 741, Rn. 68.
[5] Raum, in: Auernhammer, Kommentar zur DSGVO, Art. 35 DS-GVO, Rn. 9; Ferik, in: Schwartmann, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 36; Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 14.
[6] Ferik, in: Schwartmann, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 44; Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 47.
[7] Raum, in: Auernhammer, Kommentar zur DSGVO, Art. 35 DS-GVO, Rn. 31; Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 52; Vgl. Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 21.
[8] Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 25; Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 8.
[9] Syckor/Strufe/Lauber-Rönsberg, in: ZD 2019, 390 (392); Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 53.
[10] Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 19; Syckor/Strufe/Lauber-Rönsberg, in: ZD 2019, 390 (391); Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 10a.
[11] Gardyan-Eisenlohr/Cornelius, in: Moos/Schefzig, Praxishandbuch Datenschutzrecht, S. 761, Rn. 77; Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 10a.
[12] Syckor/Strufe/Lauber-Rönsberg, in: ZD 2019, 390 (391).
[13] Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 26; Siehe auch: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI), Muss-Liste-DSFA vom 7. 4. 2018
[14] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 35 DS-GVO, Rn. 33; Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 17.
[15] Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 22.
[16] Raum, in: Auernhammer, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 37; Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 21; Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 29.
[17] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 35 DS-GVO, Rn. 44; Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 33; Vgl. Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 35.
[18] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 35 DS-GVO, Rn. 48; Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 39; Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 80 ff.
[19] Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 84.
[20] Roßnagel/Geminn/Johannes, in: ZD 2019, 435 (439).
[21] Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 90; Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 40; Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 47.
[22] Ferik, in: Schwartmann, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 168; Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 69.
[23] Gardyan-Eisenlohr/Cornelius, in: Moos/Schefzig, Praxishandbuch Datenschutzrecht, S. 744, Rn. 74; Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 33.
[24] Fraunhofer ISI, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO 2020.
[25] Fraunhofer ISI, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO 2020, S. 20.
[26] Art. 29-Datenschutzgruppe, WP 248 Rev. 01 vom 4. Oktober 2017, S. 12.
[27] Fraunhofer ISI, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO 2020, S. 31; Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 35 DS-GVO, Rn. 45 ff.
[28] Fraunhofer ISI, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO 2020, S. 31; Vgl. Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 74.
[29] Syckor/Strufe/Lauber-Rönsberg, in: ZD 2019, 390 (391).
[30] Syckor/Strufe/Lauber-Rönsberg, in: ZD 2019, 390 (391); Schmitz/von Dall’Armi; in: ZD 2017, 57 (59); Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 42.
[31] Roßnagel/Geminn/Johannes, in: ZD 2019, 435 (439); Vgl. Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 90.
[32] Jandt, in: Kühling/Buchner, DSGVO 2020, Art. 35 DS-GVO, Rn. 51.
[33] DSK – Datenschutzkonferenz, Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO v. 24. 7. 2017, S. 3; Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 41.
[34] Fraunhofer ISI, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO 2020, S. 52.
[35] Roßnagel/Geminn/Johannes, in: ZD 2019, 435 (439); DSK – Datenschutzkonferenz, Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO v. 24. 7.2017, S. 4.
[36] Reibach, in: Taeger/Gabel, Kommentar zur DSGVO 2022, Art. 35 DS-GVO, Rn. 44; Wedde, in: Däubler/Wedde, Kommentar zur DSGVO 2020, Art. 35 DS-GVO, Rn. 108.
[37] Fraunhofer ISI, Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO 2020, S. 53.