Datenschutz-Folgenabschätzung (DSFA) in 4 Schritten richtig durchführen

Was ist eine Datenschutz-Folgenabschätzung?

Zu der Frage, was genau eine Datenschutz-Folgenabschätzung ist, verhält sich die DSGVO und auch der insofern maßgebliche Art. 35 DSGVO nur vage. In Art. 35 DSGVO wird vor allem festgehalten, unter welchen Umständen die Durchführung einer DSFA erforderlich ist und welcher Mindestinhalt eine DSFA aufweisen muss (Art. 35 Abs. 7 DSGVO). Hinweise oder Vorgaben dahingehend, in welcher Form und welche Verfahrens- bzw. Vorgehensweise eine DSFA zu folgen hat, sind dem Gesetz jedoch nicht zu entnehmen.

Zur genauen und effektiven Umsetzung gehört mehr als nur ein Dokument, das die Risiken der Verarbeitung zusammenfasst. Vielmehr ist eine DSFA als ein mehraktiger Prozess zu verstehen, der umfassend die Verarbeitungstätigkeiten – auch im Hinblick auf Scope und Verarbeitungszweck – erfasst, analysiert und weiter die technische und organisatorische Umsetzung zur Sicherheit der Daten begleitet.

Eine DSFA dient also dazu, die Verarbeitung personenbezogener Daten sowohl auf technisch-organisatorischer Ebene, aber auch auf rechtlicher Ebene unter Berücksichtigung der Verarbeitungszwecke zu bewerten.

Wann muss eine Datenschutz-Folgenabschätzung nach DSGVO durchgeführt werden?

Nach Art. 35 Abs. 1 S. 1 DSGVO muss der Verantwortliche dann eine DSFA durchführen, wenn eine Form der Datenverarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Begriff des Risikos ist sehr weit gefasst und kann jegliche Risiken wirtschaftlicher oder gesellschaftlicher Art betreffen - nähere Angaben, welche Verarbeitungstätigkeiten als besonders riskant einzustufen sind, enthält Art. 35 Abs. 1 DSGVO nicht.

Durch den zunehmenden Einzug von KI-Anwendungen in nahezu allen Unternehmensbereichen, kann sich eine Pflicht zur DSFA vor allem aus der Verwendung neuer Technologien ergeben. Bei der Einführung neuer Technologien in einem Unternehmen ist also ein besonderer Fokus auf den ggfs. bestehenden Bedarf einer DSFA zu legen.

Neben der allgemeinen Pflicht zur Durchführung einer DSFA bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der betroffenen Personen nennt Art. 35 Abs. 3 DSGVO drei Fälle, in denen eine DSFA stets verpflichtend ist. Demnach ist eine DSFA in Fällen vorzunehmen, in denen:

1. Eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt, die sich auf eine automatisierte Verarbeitung einschließlich Profiling begründet und als Grundlage für die Entscheidung dient.
2. Eine umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art. 9 Abs. 1 DSGVO) oder von personenbezogenen über strafrechtliche Verurteilungen oder Straftaten gem. Art. 10 DSGVO stattfindet.
3. Die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt.

Ferner werden in Art. 35 Abs. 4 DSGVO die Datenschutzaufsichtsbehörden verpflichtet, eine sogenannte Positivliste (auch Blacklist genannt) zu erstellen, in welcher Verarbeitungstätigkeiten aufgelistet werden, die eine DSFA notwendigerweise verlangen. In Deutschland hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) diese Positivliste erstellt und veröffentlicht.

Nach dieser Positivliste ist bspw. eine DSFA bei umfangreichen Verarbeitungen personenbezogener Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden. Hierunter können vor allem technische Anwendungen oder Tools fallen, die Überwachung und Kontrolle der Beschäftigten ermöglichen.

Zu beachten ist jedoch, dass selbst wenn all diese Kriterien für die konkrete Verarbeitungstätigkeit nicht zutreffend sind, dies nicht zwangsläufig bedeutet, dass keine DSFA vorzunehmen ist. Im Rahmen einer Schwellwertanalyse ist das Risiko der Verarbeitung zu bestimmen. In Fällen, in denen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, ist immer eine DSFA durchzuführen.

So läuft eine Datenschutz-Folgenabschätzung ab (4 Schritte)

Der grundsätzliche Inhalt einer DSFA ist Art. 35 Abs. 7 DSGVO zu entnehmen. Demnach gliedert sich eine DSFA in vier Teile und muss mindestens Folgendes enthalten:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen,
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck,
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Schritt 1: Verarbeitungsvorgänge beschreiben

Die Beschreibung der geplanten Verarbeitungsvorgänge muss eine möglichst präzise und umfassende Darstellung des Prozesses der verarbeiteten Daten selbst sowie der betroffenen Personen bzw. Personengruppen enthalten. Dabei muss für jeden Verarbeitungsvorgang auch die Rechtsgrundlage und der Zweck der Datenverarbeitung genannt werden.

Die Beschreibung umfasst ferner auch die Benennung der Datenquellen sowie der etwaigen Datenempfänger, wie z. B. involvierte Unternehmen, Auftragsverarbeiter oder auch (Mit-)Verantwortliche. Auch die Übermittlung von Daten in Drittländer sowie entsprechende Sicherheitsgarantien sind zu dokumentieren.

Schritt 2: Notwendigkeit und Verhältnismäßigkeit prüfen

Die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung teilt sich erneut in vier Bestandteile auf. Grundsätzlich ist eine Datenverarbeitung verhältnismäßig, wenn sie

• einem legitimen Zweck dient
• zur Erreichung des Zwecks geeignet,
• erforderlich (= notwendig) und
• angemessen ist.

Die Anforderung, dass die Datenverarbeitung einem legitimen Zweck dienen muss, stellt in der Regel kein Problem dar. Hieran wird es nur in Ausnahmefällen fehlen, etwa wenn die Datenverarbeitung zu unlauteren Zwecken erfolgt. Das Merkmal der Geeignetheit liegt vor, wenn die beabsichtigte Verarbeitung zur Erreichung des Zwecks förderlich ist.

Im Rahmen der Erforderlichkeit (= Notwendigkeit) ist zu erörtern, ob es noch gleich geeignete, aber für die betroffenen Personen mildere und weniger eingriffsintensive Mittel gibt. Hier können bereits Maßnahmen wie Löschkonzepte genannt werden, die zur Verringerung der Eingriffsintensität getroffen wurden.

Falls kein gleich geeignetes und milderes Mittel zur Erreichung der verfolgten Zwecke nicht ersichtlich ist, muss am Ende die Angemessenheit der Verarbeitungsvorgänge bewertet werden. Dazu sollten die Eingriffe in die Rechte der betroffenen Personen noch einmal mit den Verarbeitungszwecken abgewogen und somit überprüft werden, ob das Vorgehen insgesamt als verhältnismäßig angesehen werden kann.

Schritt 3: Risikoanalyse durchführen

Die Risikoanalyse ist ein zentraler Bestandteil der DSFA und befasst sich mit den Risiken für die betroffenen Personen, die hier vollständig dargestellt werden müssen. Es ist empfehlenswert, sich für die Risikoanalyse am dem von der DSK veröffentlichte Standardschutzmodell zu orientieren. Dieses definiert acht Gewährleistungsziele, anhand derer die Verarbeitungsvorgänge auf ihr Risiko hin kontrolliert werden können:

• Vertraulichkeit der Daten: Nur befugte Personen haben Zugang zu den Daten
• Integrität: Keine Veränderung der Daten
• Datenverfügbarkeit
• Belastbarkeit der technischen Systeme
• Transparenz: Nachvollziehbarkeit der Datenverarbeitungen für den Verantwortlichen: Wer verarbeitet welche Daten zu welchem Zweck? Sind die Betroffenen umfangreich informiert?
• Datenminimierung: Datenverarbeitung nur in dem Umfang, der für den Zweck erforderlich ist
• Intervenierbarkeit: Betroffenenrechte müssen gewährleistet werden
• Nichtverkettung: Keine Verknüpfung mit anderen Daten und keine Verwendung für andere Zwecke

Im Rahmen der DSFA kann beschrieben werden, inwieweit diese Gewährleistungsziele erreicht werden, woraufhin das Risiko anhand der Eintrittswahrscheinlichkeit von Schäden und ihrer Höhe für die betroffenen Personen ermittelt werden kann. Diese Risikobewertung sollte jedoch zunächst ohne die Berücksichtigung getroffener oder geplanter Abhilfemaßnahmen erfolgen. Denn diese werden im nächsten Schritt behandelt.

Schritt 4: Abhilfemaßnahmen festlegen

Die ermittelten Risiken müssen durch geeignete Abhilfemaßnahmen (insb. technische und organisatorische Maßnahmen) eingedämmt werden. Hierfür muss zunächst ermittelt werden, welche Maßnahmen in Betracht kommen, um das Risiko zu minimieren. Dabei ist den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener gebührend Rechnung zu tragen.

Um das Risiko einzudämmen, könnte bspw. eine stärkere Verschlüsselung eingesetzt werden oder der Ort der Datenverarbeitung oder Datenspeicherung aus einem Drittland in die EU verlagert werden. Welche konkreten Maßnahmen geeignet sind, um einem Risiko abzuhelfen, ist von dem jeweiligen Verarbeitungsvorgang abhängig und muss grundsätzlich individuell ermittelt werden.

Datenschutz-Folgenabschätzung am Beispiel der Videoüberwachung

Ein Beispiel für ein Verfahren mit DSFA ist die Praxis eines Unternehmens, auch außerhalb seiner Öffnungszeiten Videoaufzeichnungen zu erstellen, über eine unverschlüsselte WLAN-Verbindung zu übermitteln und die Aufnahmen für 14 Tage zu speichern.

Als Rechtsgrundlage für die Videoüberwachung kommen die berechtigten Interessen Unternehmens (Art. 6 Abs. 1 lit. f DSGVO) in Betracht. Die Videoüberwachung soll dem Zweck dienen, die (physische) Sicherheit des Unternehmensstandort und den Schutz des Eigentums zu gewährleisten sowie den Schutz vor körperlichen Angriffen vorzubeugen. Die Videoüberwachung ist auch zur Erreichung des Zwecks förderlich (Geeignetheit). Im Rahmen der Erforderlichkeitsprüfung kann bereits überlegt werden, ob nicht eine kürzere Speicherdauer als milderes Mittel ebenso geeignet ist.

Bereits in diesem Prüfungsschritt und auch bei der Angemessenheitsprüfung können sich aus der konkreten Ausgestaltung der Videoüberwachung ergeben, dass diese nicht notwendig bzw. nicht verhältnismäßig ist.

Jedenfalls in der Risikobewertung fließen hier die Verletzung der Vertraulichkeit der Daten aufgrund der unverschlüsselten Datenübertragung sowie des Grundsatzes der Datenminimierung durch die zu lange Speicherdauer ein. Das Ergebnis ist ein hohes Risiko. Als Abhilfemaßnahmen kommt eine Verschlüsselung der WLAN-Übermittlung mit dem Einsatz von SSL/TLS in Betracht.

Für die Videoüberwachung nichtöffentlicher Stellen hat die DSK zudem eine Stellungnahme veröffentlicht, aus der sich ergibt, dass die Speicherdauer der Aufnahmen auf die Höchstdauer von 72 Stunden reduziert werden sollte. Nach der Umsetzung dieser beiden Maßnahmen ergibt eine Neubewertung ein geringes Risiko. Die Datenschutzbehörde muss nicht konsultiert werden.

Wer ist verantwortlich für die Durchführung der DSFA in einem Unternehmen?

Auch die Frage, wer im Unternehmen verantwortlich für die Durchführung einer DSFA ist, beantwortet Art. 35 Abs. 1 DSGVO nur spärlich. Der Norm ist lediglich zu entnehmen, dass dies der Verantwortliche tun muss.

Verantwortlicher ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Auf den ersten Blick erscheint eine Einstufung hier einfach zu sein, aber insbesondere bei der Verwendung von Cloudanwendungen kann die genaue Bestimmung der Verantwortlichkeit schwerfallen. Denn häufig agieren die Anbieter selbst als Verantwortliche für einzelne Verarbeitungszwecke agieren oder es liegt (auch) eine gemeinsame Verantwortlichkeit vor. Eine genaue und korrekte Einordnung ist für den Erfolg der DSFA entscheidend.

Grundsätzlich ist für die Einhaltung des Datenschutzes innerhalb eines Unternehmens die Leitungsebene verantwortlich. Sofern ein:e Datenschutzbeauftragte:r für das Unternehmen bestellt wurde, ist der bzw. die Datenschutzbeauftragte bei der Durchführung der DSFA zu beteiligen (Art. 35 Abs. 2 DSGVO). Der / die Datenschutzbeauftragte sollte die DSFA jedoch nicht selbst durchführen. Dies kann die Unabhängigkeit seiner Beratung gefährden. Denn es widerspricht sich, wenn der / die Datenschutzbeauftragte einerseits dem Verantwortlichen mit Rat zur Seite stehen soll (Art. 35 Abs. 2 DSGVO) und zugleich die DSFA erstellt. Dies kann die Unabhängigkeit seiner Beratung gefährden. Allerdings muss der / die Datenschutzbeauftragte am Ende der DSFA eine Stellungnahme abgeben.

Darüber hinaus sollte bei der Durchführung der DSFA auch die jeweiligen die Fachabteilungen im Unternehmen (IT, HR, Sales, etc.) miteingebunden werden, da diese regelmäßig mit der Verarbeitungstätigkeit vertraut sind. Durch die Zusammenarbeit wird die Risikoermittlung und -beurteilung erleichtert. Des Weiteren ist häufig auch eine Unterstützung der Auftragsverarbeiter für die Durchführung der DSFA unabdingbar, da diese also Anbieter der Tools über tiefergehende und umfangreichere Informationen verfügen.

Vor der Durchführung einer DSFA sollte sich daher ein Überblick über die verschiedenen Akteure verschafft werden, die bei der Erstellung einzubinden sind.

Welche Strafen drohen, wenn ein Unternehmen keine DSFA durchführt, obwohl sie erforderlich ist?

Im Ernstfall kann die unterlassene Durchführung einer erforderlichen DSFA nach Art. 83 Abs. 4 lit. a DSGVO zu einer Geldbuße führen, welche bis zu 10 Mio. Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes betragen kann.

Zusätzlich stellt sich die Frage, ob sich eine unterlassene DSFA auch auf die Rechtmäßigkeit der Datenverarbeitung auswirkt und mithin unter Umständen auch eine Schadensersatzpflicht (Art. 82 DSGVO) gegenüber den betroffenen Personen besteht. In einem aktuellen Urteil des Verwaltungsgericht Wiesbaden (Urt. v. 18.12.24 - 6 K 1563/21.WI) hatte das Verwaltungsgericht unter anderem über diese Frage zu entscheiden.

Das Gericht hielt fest, dass eine nicht oder fehlerhaft durchgeführte Datenschutz-Folgenabschätzung sich nicht auf die materielle Zulässigkeit des Verarbeitungsvorgangs auswirkt. Betroffenen können demnach keinen Schadensersatzanspruch wegen einer fehlenden oder mangelhaften DSFA geltend machen.

Welche Maßnahmen müssen ergriffen werden, wenn eine hohe Datenschutzgefahr festgestellt wird?

Wenn sich im Rahmen der DSFA ein hohes oder gar sehr hohes Risiko herauskristallisiert, ist zunächst zu prüfen, ob dieses Risiko durch Abhilfemaßnahmen - etwa durch technische und organisatorische Maßnahmen - eingedämmt werden kann. Führen auch solche Maßnahmen nicht zu einer Risikominimierung kann sollte geprüft werden, ob der Verarbeitungsvorgang insgesamt angepasst werden kann. Dies kann zum Beispiel dadurch geschehen, dass der Use Case angepasst wird oder die Datenverarbeitung hinsichtlich ihres Umfangs eingeschränkt wird.

Wenn trotz alledem weiterhin ein hohes Risiko besteht, muss nach Art. 36 DSGVO der Verantwortliche die zuständige Aufsichtsbehörde konsultieren. In diesem Konsultationsverfahren muss der Verantwortliche unter Berücksichtigung der Empfehlung der Aufsichtsbehörde entscheiden, ob die Verarbeitungstätigkeit angesichts der verbleibenden Restrisiken erfolgen kann und ggf. welche zusätzlichen Abhilfemaßnahmen ergriffen werden können.

Muss eine Datenschutz-Folgenabschätzung einmalig oder regelmäßig durchgeführt werden?

Eine DSFA ist kein einmaliger Vorgang. Der Verantwortliche kann und sollte sich nach Abschluss der DSFA also nicht ausruhen und zurücklehnen. Vielmehr muss die DSFA in regelmäßigen Abständen dahingehend überprüft werden, ob die Risikobeurteilung noch aktuell und zutreffend ist.

Anlass für eine Überprüfung und ggf. Anpassung der DSFA kann z. B. darin liegen, dass sich die Datenverarbeitung hinsichtlich ihres Umfangs oder ihrer Intensität geändert hat. Auch können bspw. neue Features einer Software zu einer erneuten oder gar anderen Bewertung führen, etwa wenn ein bestehendes Tool um eine KI-Anwendung erweitert wird.

Insofern ist es erforderlich, stets den Überblick über die Verarbeitungsvorgänge zu behalten und bei Veränderungen an bestehenden Verarbeitungstätigkeiten sollte stets mitgedacht werden, ob sich an der Risikoeinschätzung und -bewertung etwas ändert. Es bietet sich daher an, schon mit Abschluss der erstmaligen Durchführung der DSFA einen konkreten Termin zur Wiedervorlage bzw. Review zu bestimmen. Dadurch kann sichergestellt werden, dass die DSFA stets auf dem aktuellen Stand ist.

Wie kann ISiCO bei der Datenschutz-Folgenabschätzung unterstützen?

Ob in ein übergeordnetes Datenschutz-Management eingebettet oder auf ein konkretes Projekt bezogen – wir sind Ihr Ansprechpartner für die Begleitung und Durchführung von Datenschutz-Folgenabschätzungen. Profitieren Sie von unserer Expertise in der Durchführung einer DSFA und den interdisziplinären Erfahrungen durch unsere Arbeit in verschiedenen Branchen.

In einem unverbindlichen Erstgespräch klären wir Ihre Bedürfnisse und legen den Grundstein für unsere Zusammenarbeit. Wir untersuchen die geplante Datenverarbeitung detailliert, um Datenarten, Verarbeitungszweck und beteiligte Systeme zu erfassen. Im weiteren Verlauf werden die Risiken für die betroffenen Personen bewertet und geeignete Schutzmaßnahmen festgelegt.

Wir unterstützen bei der Dokumentation und regelmäßigen Überprüfung, um fortlaufende Compliance und Sicherheit zu gewährleisten.