Schwellwertanalysen sind ein wichtiges Instrument im Datenschutzmanagement, denn sie helfen Organisationen dabei, Datenschutzrisiken von Verabeitungstätigkeiten besser einschätzen zu können. Doch was ist die Schwellwertanalyse genau, und warum sollte sie einen festen Platz auf der Agenda von Datenschutzexpert:innen haben?
Die Schwellwertanalyse ist eine essentielle Methode zur Risikobestimmung im Datenschutzmanagement. Im Folgenden findest du einen Überblick zum Begriff der Schwellwertanalyse nebst aktuellem Hintergrundwissen und einer Anleitung in neun leicht umsetzbaren Schritten.
Die Schwellwertanalyse ist eine Vorstufe zur Datenschutz-Folgenabschätzung (DSFA). Sie dient in erster Linie dazu, festzustellen, ob eine Datenschutz-Folgenabschätzung notwendig ist. Gegenstand der Analyse ist die Frage, ob potentiell ein hohes Risiko besteht, dass der untersuchte Verarbeitungsvorgang die Rechte und Freiheiten natürlicher Personen einschränkt. Ist dies gegeben, sprechen Jurist:innen im Datenschutzrecht davon, dass die Verarbeitungstätigkeit den Schwellwert dieser Risiken überschreitet – daher die Bezeichnung des Verfahrens als Schwellwertanalyse.
Bei der Untersuchung von Verarbeitungstätigkeiten wird durch diese Analyse also zunächst geprüft, ob im jeweiligen Fall überhaupt eine Datenschutz-Folgenabschätzung erforderlich ist.
Um eine Einschätzung über das potentielle Risiko einer Verarbeitungstätigkeit (VT) zu erhalten, haben sich in der Praxis die folgenden zwei Schritten etabliert:
Prüfe zuerst, ob die VT in einer DSFA-Muss-Liste (auch bekannt als "Blacklist") enthalten ist. Falls ja, musst du für diese VT unmittelbar eine Datenschutz-Folgenabschätzung durchführen.
Falls die VT nicht in der DSFA-Muss-Liste enthalten ist, führst du eine Schwellwertanalyse durch, in welcher du 9 Fragen zur Abklärung der potentiellen Risiken beantwortest (siehe Anleitung weiter unten im Blog)
Dein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO liefert dir alle nötigen Informationen, die als Basis für die Schwellwertanalyse dienen. Diese Analyse stellt einen vorgelagerten Schritt zur Datenschutz-Folgenabschätzung dar. Stellt sich im Ergebnis ein hohes Risiko heraus, ist die anknüpfende DSFA gesetzlich verpflichtend.
Die Praxisrelevanz der Schwellwertanalyse wurde durch das Auskunftsersuchen, das die Stabsstelle Prüfverfahren des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) im Januar 2024 an Unternehmen schickte, bestätigt. Die Behörde prüfte Verarbeitungsvorgänge zufällig ausgewählter datengetriebener und innovativer Unternehmen und stellte entsprechende Schreiben an die betroffenen Unternehmen aus. Die Betroffenen mussten dem Landesamt alle Einträge ihrer VVT und deren Verarbeitungskategorien mitteilen, bei denen eine Schwellwertanalyse ein hohes Risiko ergab. Wer dem nicht nachkam, musste mit einem Bußgeld bzw. einer genaueren Behördenprüfung rechnen. Es bleibt abzusehen, ob weitere Datenschutzbehörden in Deutschland dem bayerischen Vorbild folgen.
Dadurch wird klar: Wer proaktiv auf eine akribische und vollständige Dokumentation von Verarbeitungstätigkeiten Wert legt, kann einer Behördenanfrage rasch und relativ unkompliziert nachkommen, schont Ressourcen und vermeidet etwaige Konsequenzen.
Für die Schwellwertanalyse hat sich in der Praxis der 9-Punkte-Katalog bewährt. Dieser basiert auf den Vorgaben, die der europäische Datenschutz-Ausschuss in seinen Leitlinien zur Datenschutz-Folgenabschätzung (Working Paper 248 rev. 01) im Jahr 2017 festgehalten hat. Du führst die Schwellwertanalyse mithilfe der Beantwortung dieser neun Fragen durch. Wenn du feststellen konntest, dass deine VT in der DSFA-Muss-Liste enthalten ist (siehe oben) oder wenn du mindestens zwei der folgenden neun Fragen mit Ja beantwortest, heißt das, dass du eine DSFA durchführen solltest.
Damit du genau weißt, auf welche Art von Verarbeitungstätigkeit sich die einzelnen Fragen beziehen, geben wir dir neben den nötigen Informationen bei den strittigen Kriterien zusätzlich passende Beispiele an die Hand, wie sie dir in der Datenschutzpraxis begegnen können.
Unter dem Begriff „Profiling“ werden gewisse Verarbeitungsvorgänge zusammengefasst, bei denen persönliche Aspekte der betroffenen Person bewertet werden. Dazu gehören ihre
Arbeitsleistung,
wirtschaftliche Lage,
Gesundheit,
persönlichen Vorlieben und Interessen,
Zuverlässigkeit,
Verhaltensweisen und
Aufenthaltsorte oder Ortswechsel.
Beispiel
Um Profiling handelt es sich etwa, wenn dein Unternehmen anhand der wirtschaftlichen Lage der betroffenen Person oder durch die Speicherung ihrer Kaufvorlieben einen Kredit-Score für diese Person erstellt. In diesem Fall ist die erste Frage im Neun-Punkte-Katalog zu bejahen und du musst eine DSFA durchführen.
Der erste Teil dieser Frage zielt darauf ab zu klären, ob eine Entscheidungsfindung komplett ohne menschliche Beteiligung stattfindet. Dabei liegt eine automatisierte Entscheidung vor, wenn sie ausschließlich mithilfe technischer Mittel getroffen wird.
Im zweiten Frageteil soll beurteilt werden, ob die automatisierte Entscheidung gestaltende Wirkung gegenüber der betroffenen Person ausübt. Eine solche bedeutsame Auswirkung ist gegeben, wenn der Datenverarbeitungsvorgang Rechtswirkung nach sich ziehen kann oder die Auswirkung möglicherweise faktisch folgenreicher Natur ist.
Beispiel
Eine voll automatisierte Online-Vergabe von Krediten oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen fallen unter diesen Punkt und müssen eine DSFA nach sich ziehen.
Bei dieser Frage spielt der Begriff „systematisch“ eine große Rolle. Es gibt daher mehrere Kriterien, um zu bewerten, ob eine Überwachung, Beobachtung oder Kontrolle systematisch erfolgt. Das trifft zu, wenn sie
im Rahmen eines Systems erfolgt,
vorab festgelegt, organisiert oder methodisch ist,
als Teil eines Gesamtplans zur Datenerfassung stattfindet oder
als Teil einer Strategie durchgeführt wird.
Beispiel
Eine systematische Überwachung liegt bei einer Videoüberwachung vor oder wenn für die Verarbeitung auf Daten zurückgegriffen wird, die über Netzwerke erfasst wurden.
Hier kommt es auf die besonderen Kategorien personenbezogener Daten an, die extra schutzwürdig sind. Dazu zählen solche, aus denen
die rassische und ethnische Herkunft,
die politischen Meinungen,
die religiöse oder weltanschaulichen Überzeugungen oder
die Gewerkschaftszugehörigkeit hervorgehen.
Außerdem schützt dieser Punkt die Betroffenen, wenn folgende Daten von ihnen verarbeitet werden:
Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln
vertrauliche Daten zum Beispiel zur elektronischen Kommunikation, dem Standort oder den Finanzen einer Person, die mögliche Risiken für Betroffene erhöhen könnten
Auch für die Beantwortung dieser Fragen liegen wieder mehrere Kriterien vor, anhand derer du die Datenverarbeitung beurteilen kannst und musst. Bei der Bewertung, ob es sich um Datenverarbeitung in einem großen Umfang handelt, fließen folgende Kriterien ein:
Anzahl der betroffenen Personen
verarbeitete Datenmenge
Bandbreite der verarbeiteten Datenelemente
Dauer oder Dauerhaftigkeit der Verarbeitung
geografisches Ausmaß der Datenverarbeitung
Mit diesem Kriterium wird der Fall abgedeckt, dass Datensätze, die von unterschiedlichen Verantwortlichen oder zu unterschiedlichen Zwecken erhoben wurden, zusammengeführt werden. Doch warum ist das so besonders, dass dadurch eine DSFA nötig wird? Das liegt daran, dass die Betroffenen eine solche Zusammenführung in der Regel nicht erwarten würden. Die DSFA muss allerdings nur getätigt werden, wenn die Zusammenführung oder Verarbeitung zusätzlich
in großem Umfang vorgenommen wird,
für Zwecke erfolgt, für die die Daten nicht direkt bei den Betroffenen erhoben wurden,
mithilfe von nicht nachvollziehbaren Algorithmen geschieht und
dafür geschieht, um damit Entscheidungen mit Rechtswirkung zu treffen.
Wenn die Daten schutzbedürftiger Personen verarbeitet werden, ist eine Datenschutz-Folgenabschätzung wichtig, um mögliche Risiken einzuschätzen und ihnen vorzubeugen. Eine Person oder Personengruppe ist dann als schutzbedürftig anzusehen, wenn in ihrer Stellung gegenüber Verantwortlichen ein Machtungleichgewicht herrscht. Dazu gehören beispielsweise:
Kinder
Arbeitnehmer:innen
psychisch Kranke
Asylbewerber:innen
Senior:innen
Patient:innen
Neue Technologien bilden einen weiteren wichtigen Punkt auf der DSFA-Liste. Das lässt sich damit erklären, dass bei ihrem Einsatz häufig noch gar nicht absehbar ist, ob und wie sich die Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen auswirkt.
Beispiel
Mittlerweile gibt es zahlreiche Anwendungen, die Künstliche Intelligenz einsetzen. Wenn dein Unternehmen diese KI jedoch für den Kund:innen-Support oder die Auswertung von Telefonaten per Algorithmus nutzt, musst du eine DSFA durchführen.
Auch für die Zugangskontrolle mit einer Kombination aus Fingerabdruck- und Gesichtserkennung musst du eine Datenschutz-Folgenabschätzung machen.
Mit dieser Frage soll Datenverarbeitungen auf den Grund gegangen werden, die besondere Auswirkungen darauf haben, ob die betroffene Person ihre Rechte ausüben oder eine Dienstleistung nutzen kann.
Beispiel
Ein besonders beliebtes Beispiel ist das folgende: Eine Bank durchsucht eine Datenbank, die von einer Kreditauskunftei wie der SCHUFA, Creditreform Boniversum oder Avarto infoscore betrieben wird, nach Daten über einen oder eine potenzielle Kund:in. Die Bank möchte die Erkenntnisse nutzen, um über die Kreditvergabe zu entscheiden. Somit tritt der genannte Fall hinsichtlich der Auswirkungen für die betroffene Person ein; die Bank muss demnach eine DSFA durchführen.
Eine Datenschutz-Folgenabschätzung (DSFA) ist ein gesetzlich vorgeschriebenes Verfahren. Es ist mit Art. 35 der Datenschutz-Grundverordnung (DSGVO) gesetzlich verankert. Eine DSFA musst du immer dann durchführen, wenn abzusehen ist, dass bei einer Datenverarbeitung – aufgrund ihrer Art, ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung – voraussichtlich ein hohes Risiko besteht, die Datenschutzrechte betroffener natürlicher Personen zu verletzen. Das ist zum Beispiel stets der Fall, wenn die Verarbeitungstätigkeit mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO zusammenhängt.
Die Schwellwertanalyse ist eine wichtige Methodik in der Datenschutzpraxis. Sie dient zur Risikoeinschätzung von Verarbeitungstätigkeiten und hilft dir bei der Feststellung, ob du eine DSFA durchführen musst. Für die Durchführung hat sich der 9-Punkte-Katalog – also 9 Fragen – bewährt. Da die Bewertung einzelner Fragen mitunter komplex sein kann, bieten sich für die Schwellwertanalyse digitale Lösungen an, die mit Beispielen, Hinweisen und Hintergrundinformationen dienen können.
Die Datenschutzsoftware von caralegal erleichtert die Schwellwertanalyse und optimiert durch direkte Integration in das Verzeichnis von Verarbeitungstätigkeiten (VVT) die Erfassung risikobehafteter Datenverarbeitungsvorgänge. Klicke auf diesen Link um zu erfahren, wie die Schwellwertanalyse in caralegal funktioniert.
Link kopieren