DSFA-Muss-Liste: Wann eine Datenschutz-Folgenabschätzung erforderlich ist

DSFA-Muss-Listen sind von Datenschutzaufsichtsbehörden veröffentlichte Übersichten der Verarbeitungstätigkeiten, bei denen typischerweise eine DSFA erforderlich ist. Sie wird von den zuständigen Datenschutzaufsichtsbehörden nach Art. 35 Abs. 4 DSGVO veröffentlicht und gilt für den nicht-öffentlichen Bereich, also für Unternehmen und privatrechtliche Organisationen. Art. 35 Abs. 4 DSGVO verpflichtet die Aufsichtsbehörden ausdrücklich dazu, eine solche Liste zu erstellen und zu veröffentlichen.

Daneben erlaubt Art. 35 Abs. 5 DSGVO den Behörden auch die Veröffentlichung einer DSFA-Muss-Nicht-Liste, also einer Aufstellung von Verarbeitungstätigkeiten, für die keine DSFA erforderlich ist. Von dieser Möglichkeit haben die deutschen Aufsichtsbehörden bislang keinen Gebrauch gemacht.

In Deutschland ist die Datenschutzaufsicht föderal organisiert. Datenschutzaufsichtsbehörden können eigene DSFA-Muss-Listen veröffentlichen oder auf die Liste der Datenschutzkonferenz (DSK) verweisen.

Für den nicht-öffentlichen Bereich existieren sowohl eigenständige Veröffentlichungen einzelner Landesaufsichtsbehörden als auch Behörden, die sich an der DSK-Liste orientieren. Eine verbindlich einheitliche bundesweite Liste gibt es nicht.

Für die Praxis gilt: Maßgeblich ist grundsätzlich die zuständige Datenschutzaufsichtsbehörde des Unternehmens. Unternehmen mit mehreren Niederlassungen sollten prüfen, welche Behörde im jeweiligen Fall federführend zuständig ist.

Damit Datenschutzverantwortliche nicht jede Landesbehörde einzeln prüfen müssen, haben wir die relevanten DSFA-Muss-Listen und DSK-Verweise für den nicht-öffentlichen Bereich in einer zentralen Übersicht zusammengefasst.

Die konkreten DSFA-Muss-Listen unterscheiden sich teilweise zwischen den Bundesländern und Aufsichtsbehörden. Die folgenden Beispiele orientieren sich an typischen Verarbeitungstätigkeiten, die in deutschen DSFA-Listen oder den Leitlinien des Europäischen Datenschutzausschusses (EDSA) regelmäßig genannt werden. Ob im Einzelfall tatsächlich eine DSFA erforderlich ist, hängt immer von der konkreten Ausgestaltung der Verarbeitung und der jeweils zuständigen Aufsichtsbehörde ab.

• Biometrische Zutrittssysteme: Der Einsatz biometrischer Verfahren – etwa Fingerabdruck- oder Gesichtserkennungssysteme – zur Zutrittskontrolle kann eine DSFA erforderlich machen, insbesondere bei systematischer oder großflächiger Verarbeitung biometrischer Daten nach Art. 9 DSGVO.
• Verarbeitung genetischer Daten: Die umfangreiche Verarbeitung genetischer Daten, beispielsweise zur medizinischen Diagnostik oder Forschung, gilt regelmäßig als besonders risikobehaftet und fällt häufig unter die DSFA-Pflicht.
  Scoring und Bonitätsprüfung: Automatisierte Scoring-Verfahren durch Auskunfteien, Banken oder Versicherungen zur Risikobewertung von Personen.
• Fraud-Prevention-Systeme: Die Zusammenführung großer Datenmengen zur algorithmischen Betrugserkennung, etwa im Zahlungsverkehr oder E-Commerce, kann aufgrund des Profilings und der umfangreichen Datenanalyse DSFA-pflichtig sein.
  Beschäftigtenmonitoring: Systematische Überwachungsmaßnahmen am Arbeitsplatz, beispielsweise durch zentrale Auswertung von Nutzungs-, Kommunikations- oder Verhaltensdaten, zählen regelmäßig zu den besonders sensiblen Verarbeitungsszenarien.
• Geolokalisierung von Beschäftigten: Die dauerhafte oder systematische Ortung von Beschäftigten mittels GPS, RFID oder Telematiksystemen kann wegen der Erstellung von Bewegungsprofilen eine DSFA erforderlich machen.
• KI-gestützter Kundensupport: Der Einsatz von KI-Systemen zur Analyse, Bewertung oder Vorhersage persönlicher Aspekte, etwa im Kundenservice, Recruiting oder Risikomanagement, kann insbesondere bei Profiling oder automatisierten Entscheidungen unter die DSFA-Pflicht fallen.
• Kundenprofiling und Loyalitätsprogramme: Die umfassende Analyse des Kauf- oder Nutzungsverhaltens im Rahmen von Kundenbindungsprogrammen kann aufgrund der Profilbildung und Verknüpfung verschiedener Datenquellen DSFA-relevant sein.
• Telemedizin: Die systematische Verarbeitung sensibler Gesundheitsdaten über Apps, Wearables (z. B. Smartwatches oder Smart Rings) oder telemedizinische Plattformen erfordert häufig eine DSFA, insbesondere bei umfangreicher Verarbeitung besonderer Kategorien personenbezogener Daten.
• Big-Data-Analyse: Die Verknüpfung großer Datenbestände aus unterschiedlichen Quellen zur Erstellung neuer Erkenntnisse oder Vorhersagen kann wegen der mangelnden Transparenz und des hohen Eingriffsrisikos DSFA-pflichtig sein.

Die DSFA-Muss-Liste und die Schwellwertanalyse sind zwei unterschiedliche Instrumente, mit denen geprüft wird, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Sie ergänzen sich und werden in der Praxis häufig nacheinander angewendet.

In den sogenannten DSFA-Muss-Listen der Aufsichtsbehörden sind Verarbeitungstätigkeiten aufgeführt, bei denen typischerweise ein hohes Risiko im Sinne von Art. 35 DSGVO angenommen wird. Ist eine Verarbeitung auf einer solchen Liste aufgeführt, ist regelmäßig eine DSFA durchzuführen.

Steht eine Verarbeitungstätigkeit jedoch nicht auf einer solchen Liste, bedeutet das nicht automatisch, dass keine DSFA erforderlich ist. In diesem Fall erfolgt eine individuelle Risikobewertung, die häufig in Form einer Schwellwertanalyse durchgeführt wird.

Bei einer Schwellwertanalyse wird anhand definierter Kriterien geprüft, ob die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringt.

Wie die Schwellwertanalyse methodisch durchgeführt werden kann, erklärt unser Praxisguide: Schwellwertanalyse: Schritt-für-Schritt-Anleitung.

Die Prüfung der DSFA-Pflicht ist ein wiederkehrender Prozess. Neue Verarbeitungstätigkeiten, geänderte Prozesse oder aktualisierte Behördenlisten können die Bewertung jederzeit verändern. Datenschutzverantwortliche sollten die relevanten Listen daher regelmäßig auf Aktualität prüfen.

Unsere DSFA-Muss-Liste bündelt alle deutschen Ländervorgaben in einem Dokument und ist außerdem Teil der caralegal Datenschutzsoftware, in der Schwellwertanalysen automatisiert und direkt mit dem Verzeichnis von Verarbeitungstätigkeiten (VVT) verknüpft durchgeführt werden.

Steht nach Ihrer Prüfung fest, dass eine DSFA durchgeführt werden muss, erklärt dieser Artikel die methodisch korrekte Vorgehensweise: Datenschutz-Folgenabschätzung durchführen: Anleitung in 4 Schritten.