Die Datenschutz-Folgenabschätzung

Eine DSFA muss laut Gesetz folgende Mindestanforderungen erfüllen:

• Bewertung der betroffenen persönlichen Aspekte natürlicher Personen,
• Analyse der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung,
• Risikobewertung hinsichtlich der Rechte und Freiheiten der Betroffenen,
• Definition von Abhilfemaßnahmen, um diese Risiken zu minimieren.

Ziel der DSFA ist es, Datenschutzrisiken proaktiv zu erkennen und zu minimieren, bevor es zu einer Datenpanne kommt. Unternehmen vermeiden nicht nur hohe Bußgelder, sondern können auch Risiken erkennen und Datenpannen vorbeugen.

Die DSGVO legt dazu in Artikel 35 Abs. 3 konkrete Regelbeispiele fest, darunter:

• Automatisierte Verarbeitung und Profiling, wenn dies für Entscheidungen mit rechtlicher oder erheblicher Wirkung genutzt wird.
• Umfangreiche Verarbeitung besonderer personenbezogener Daten (z. B. Gesundheits- oder Strafdaten).
• Systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Darüber hinaus sind folgende Risikokriterien ein Indikator für die Erforderlichkeit einer DSFA:

• Scoring und Profilbildung,
• Automatisierte Entscheidungen,
• Verarbeitung sensibler Daten in großem Umfang,
• Systematische Überwachung,
• Einsatz neuer Technologien oder biometrischer Verfahren,
• Datenverarbeitung, die Betroffene an der Rechtsausübung hindert.

Einzelne Kriterien allein erfordern nicht zwingend eine DSFA, doch bei mehreren erfüllten Punkten ist sie notwendig. In Zweifelsfällen sollte sie stets durchgeführt werden. Zudem muss eine DSFA spätestens alle drei Jahre wiederholt werden.

Dieses Risiko wird anhand zweier Dimensionen bewertet:

Schwere des potenziellen Schadens: Wie gravierend wären die Auswirkungen auf die betroffenen Personen?
Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass das schädigende Ereignis eintritt?​

Basierend auf diesen Dimensionen unterscheidet die DSGVO drei Risikostufen:​

• Geringes Risiko: Hier sind sowohl die Schwere des potenziellen Schadens als auch die Eintrittswahrscheinlichkeit niedrig. In solchen Fällen können bestimmte Verpflichtungen für den Verantwortlichen entfallen, beispielsweise die Meldepflicht bei Datenschutzverletzungen oder das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten.​
• Normales Risiko: Dieses Niveau wird erreicht, wenn entweder die Schwere des Schadens oder die Eintrittswahrscheinlichkeit moderat ist. Typische Beispiele hierfür sind die Verarbeitung von Adresslisten oder Einkaufsverhalten.​
• Hohes Risiko: Ein hohes Risiko liegt vor, wenn sowohl die potenzielle Schwere des Schadens als auch die Eintrittswahrscheinlichkeit hoch sind. In solchen Fällen ist eine DSFA zwingend erforderlich, um geeignete Schutzmaßnahmen zu identifizieren und umzusetzen.​

Folgende Herausforderungen beschäftigen die meisten kleineren Unternehmen:

Geringere Datenmengen, aber mäßiges Risiko
KMU verarbeiten in der Regel weniger personenbezogene Daten als Großkonzerne, was das Risiko tendenziell verringert. Dennoch sind bestimmte Verarbeitungen, wie z. B. die Nutzung von Kundenprofilen oder Videoüberwachung, potenziell risikobehaftet und können eine DSFA erfordern.

Fehlende interne Datenschutz-Expertise
Unternehmen mit mindestens 20 Mitarbeitenden sind verpflichtet einen Datenschutzbeauftragten (DSB) zu bestellen. Viele kleine Unternehmen lösen das aus Kostengründen intern. Dabei fehlen oft die nötige Zeit und das Fachwissen – vor allem für aufwändige Aufgaben wie eine Datenschutz-Folgenabschätzung (DSFA). In diesen Fällen kann es sinnvoll sein, externe Datenschutzbeauftragte hinzuzuziehen.

Fehlende Erleichterungen für KMU
Obwohl KMU oft über weniger Ressourcen verfügen, sind sie dennoch verpflichtet, Datenschutz-Folgenabschätzungen durchzuführen, wenn ihre Datenverarbeitung ein hohes Risiko birgt. Die Nutzung von Standard-Vorlagen oder Leitfäden der Datenschutzaufsichtsbehörden oder die Orientierung von DSFA Bewertungen von Verbänden kann hilfreich sein.

Erstellt wird sie vom DSK, dem Gremium aller deutsche Datenschutzaufsichtsbehörden und gilt bundesweit. Die Landesdatenschutzbehörden erstellen dazu ergänzende Empfehlungen. Grundsätzlich kommt es aber nicht zu unterschiedlichen Ausführungen in verschiedenen Bundesländern.

Prüfung der DSFA-Pflicht

Zunächst sollten Unternehmen prüfen, ob sie eine Datenschutz-Folgenabschätzung durchführen müssen. Eine DSFA ist verpflichtend, wenn eine hohe Gefahr für die Rechte und Freiheiten von Betroffenen besteht. Folgende Fragen sind hilfreich:

Handelt es sich um eine risikobehaftete Verarbeitung?
Bestimmte Arten von personenbezogenen Daten sind für ein hohes Risiko bekannt. Vorsicht ist geboten bei:

• Verarbeitung besonderer Kategorien personenbezogener Daten, wie Gesundheitsdaten oder biometrische Daten.
• Automatisierte Entscheidungsfindung oder Profiling, das erhebliche Auswirkungen auf Betroffene hat.
• Überwachung von Personen in öffentlich zugänglichen Bereichen.
• Abgleich oder Zusammenführung großer Datenmengen aus verschiedenen Quellen.

 Gibt es eine Blacklist der Aufsichtsbehörden?
Die Datenschutzkonferenz (DSK) hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, bei denen eine DSFA verpflichtend ist. Unternehmen sollten prüfen, ob ihre Verarbeitung darunter fällt.

Gibt es eine bereits durchgeführte DSFA für ein ähnliches System?
Falls ein vergleichbares System oder eine ähnliche Datenverarbeitung bereits geprüft wurde, kann diese Bewertung als Grundlage dienen, um den Aufwand zu reduzieren.

Schritt 2: Beschreibung der Verarbeitung

Damit die Risiken der Datenverarbeitung bewertet werden können, muss die Verarbeitung detailliert beschrieben werden.

• Welche Daten werden verarbeitet?
• Wer sind die betroffenen Personen? (z. B. Kunden, Mitarbeiter, Patienten)
• Zu welchem Zweck werden die Daten verarbeitet
• Welche Technologien kommen zum Einsatz? (z. B. KI, Cloud-Dienste)
• Wer hat Zugriff auf die Daten? (intern/extern)
• Wie lange werden die Daten gespeichert?
• Werden die Daten weitergegeben? (z. B. an Dritte oder in Drittstaaten?)

Schritt 3: Bewertung der Notwendigkeit und Verhältnismäßigkeit

Hier wird geprüft, ob die Verarbeitung gerechtfertigt und verhältnismäßig ist.

 Ist die Verarbeitung erforderlich?

• Gibt es eine rechtliche Grundlage (z. B. Vertrag, Einwilligung, berechtigtes Interesse)?
• Ist die Verarbeitung alternativlos, oder gibt es weniger eingreifende Methoden?

Werden Datenschutzgrundsätze beachtet?

• Datenminimierung: Es werden nur die notwendigsten Daten verarbeitet.
• Zweckbindung: Die Daten werden nur für den festgelegten Zweck genutzt.
• Speicherbegrenzung: Es gibt klare Löschfristen für die Daten.

Schritt 4: Risikoanalyse

Die Risikoanalyse dient dazu, mögliche Gefahren für die Rechte und Freiheiten der betroffenen Personen zu identifizieren und zu bewerten. Mögliche Risiken sind Identitätsdiebstahl, Diskriminierung, wirtschaftliche Nachteile oder der Verlust der Vertraulichkeit von Daten. Die Bewertung erfolgt anhand der Schwere des Schadens (gering, mittel, hoch) und der Eintrittswahrscheinlichkeit (selten, möglich, wahrscheinlich). Liegt ein hohes Risiko vor, müssen technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffskontrollen oder Mitarbeiterschulungen ergriffen werden, um das Risiko zu minimieren. Anschließend wird geprüft, ob ein verbleibendes Restrisiko besteht. Falls dieses weiterhin hoch ist, muss die Aufsichtsbehörde konsultiert werden.

Schritt 5: Maßnahmen zur Risikominimierung

Um identifizierte Risiken zu minimieren, müssen technische und organisatorische Schutzmaßnahmen umgesetzt werden. Technische Maßnahmen wie Verschlüsselung, Pseudonymisierung und Zugriffskontrollen sorgen dafür, dass personenbezogene Daten geschützt und nur autorisierten Personen zugänglich sind. Ergänzend dazu tragen organisatorische Maßnahmen wie Mitarbeiterschulungen, klare Vertragsregelungen mit Auftragsverarbeitern und Notfallpläne zur Datensicherheit bei. Zudem sollten Unternehmen das Prinzip Privacy by Design und Privacy by Default berücksichtigen, indem Datenschutz von Anfang an in Systeme integriert und datenschutzfreundliche Voreinstellungen als Standard festgelegt werden.

Schritt 6: Dokumentation der DSFA

Eine DSFA muss vollständig dokumentiert werden, um bei Kontrollen nachweisen zu können, dass Datenschutzrisiken geprüft und minimiert wurden. Dazu gehört auch die schriftliche Umsetzung aller Schritte, vor allem aber der Risikoanalyse und der getroffenen Maßnahmen. Falls nach den umgesetzten Maßnahmen zur Risikominimierung weiterhin ein hohes Risiko bleibt, muss die Aufsichtsbehörde konsultiert werden.

Die jeweiligen Aufsichtsbehörden können außerdem noch individuelle Sanktionen verhängen, zum Beispiel Verwarnungen oder die Anordnung, die DSFA nachzuholen; die Untersagung der Datenverarbeitung und auch weitere Zwangsgelder, wenn den Aufforderungen nicht Folge geleistet wird.

Kam es zu einem Datenschutzvergehen, können betroffene Personen Klage erheben und Schadenersatz fordern. Die finanzielle Bedrohung wird ergänzt um das Risiko des Reputationsverlusts und auch des Vertrauensverlustes bei etwaigen Geschäftspartnern.