Your subscription could not be saved. Please try again.
Zum Newsletter anmelden
Your subscription has been successful.
caralegal logo

Schwellwert­analyse: mit diesen neun Fragen führst du sie durch

Schwellwertanalysen sind ein wichtiges Instrument im Datenschutzmanagement, denn sie helfen Organisationen dabei, Datenschutzrisiken von Verabeitungstätigkeiten besser einschätzen zu können. Doch was ist die Schwellwertanalyse genau, und warum sollte sie einen festen Platz auf der Agenda von Datenschutzexpert:innen haben?

Die Schwellwertanalyse ist eine essentielle Methode zur Risikobestimmung im Datenschutzmanagement. Im Folgenden findest du einen Überblick zum Begriff der Schwellwertanalyse nebst aktuellem Hintergrundwissen und einer Anleitung in neun leicht umsetzbaren Schritten.

von Dennis Kurpierz, Co-Founder & COO
12. April 2024
 | 
Schwellwertanalyse: Symbolbild aus dem Datenschutzrecht

Die Schwellwert­analyse im Datenschutz

Die Schwellwertanalyse ist eine Vorstufe zur Datenschutz-Folgenabschätzung (DSFA). Sie dient in erster Linie dazu, festzustellen, ob eine Datenschutz-Folgenabschätzung notwendig ist. Gegenstand der Analyse ist die Frage, ob potentiell ein hohes Risiko besteht, dass der untersuchte Verarbeitungsvorgang die Rechte und Freiheiten natürlicher Personen einschränkt. Ist dies gegeben, sprechen Jurist:innen im Datenschutzrecht davon, dass die Verarbeitungstätigkeit den Schwellwert dieser Risiken überschreitet – daher die Bezeichnung des Verfahrens als Schwellwertanalyse.

Bei der Untersuchung von Verarbeitungstätigkeiten wird durch diese Analyse also zunächst geprüft, ob im jeweiligen Fall überhaupt eine Datenschutz-Folgenabschätzung erforderlich ist.

Wann du eine Schwellwert­analyse durchführen musst

Um eine Einschätzung über das potentielle Risiko einer Verarbeitungstätigkeit (VT) zu erhalten, haben sich in der Praxis die folgenden zwei Schritten etabliert:
Um eine Einschätzung über das potentielle Risiko einer Verarbeitungstätigkeit (VT) zu erhalten, haben sich in der Praxis die folgenden zwei Schritten etabliert:

1.

Prüfe zuerst, ob die VT in einer DSFA-Muss-Liste (auch bekannt als "Blacklist") enthalten ist. Falls ja, musst du für diese VT unmittelbar eine Datenschutz-Folgenabschätzung durchführen.

2.

Falls die VT nicht in der DSFA-Muss-Liste enthalten ist, führst du eine Schwellwertanalyse durch, in welcher du 9 Fragen zur Abklärung der potentiellen Risiken beantwortest (siehe Anleitung weiter unten im Blog)

TIPP

Dein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO liefert dir alle nötigen Informationen, die als Basis für die Schwellwertanalyse dienen. Diese Analyse stellt einen vorgelagerten Schritt zur Datenschutz-Folgenabschätzung dar. Stellt sich im Ergebnis ein hohes Risiko heraus, ist die anknüpfende DSFA gesetzlich verpflichtend.

Aus aktuellem Anlass: Prüfung zur Schwellwert­analyse durch die BayLDA

Die Praxisrelevanz der Schwellwertanalyse wurde durch das Auskunftsersuchen, das die Stabsstelle Prüfverfahren des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) im Januar 2024 an Unternehmen schickte, bestätigt. Die Behörde prüfte Verarbeitungsvorgänge zufällig ausgewählter datengetriebener und innovativer Unternehmen und stellte entsprechende Schreiben an die betroffenen Unternehmen aus. Die Betroffenen mussten dem Landesamt alle Einträge ihrer VVT und deren Verarbeitungskategorien mitteilen, bei denen eine Schwellwertanalyse ein hohes Risiko ergab. Wer dem nicht nachkam, musste mit einem Bußgeld bzw. einer genaueren Behördenprüfung rechnen. Es bleibt abzusehen, ob weitere Datenschutzbehörden in Deutschland dem bayerischen Vorbild folgen.

Dadurch wird klar: Wer proaktiv auf eine akribische und vollständige Dokumentation von Verarbeitungstätigkeiten Wert legt, kann einer Behördenanfrage rasch und relativ unkompliziert nachkommen, schont Ressourcen und vermeidet etwaige Konsequenzen.

Schwellwert­analyse: Diese 9 Fragen musst du beantworten

Für die Schwellwertanalyse hat sich in der Praxis der 9-Punkte-Katalog bewährt. Dieser basiert auf den Vorgaben, die der europäische Datenschutz-Ausschuss in seinen Leitlinien zur Datenschutz-Folgenabschätzung (Working Paper 248 rev. 01) im Jahr 2017 festgehalten hat. Du führst die Schwellwertanalyse mithilfe der Beantwortung dieser neun Fragen durch. Wenn du feststellen konntest, dass deine VT in der DSFA-Muss-Liste enthalten ist (siehe oben) oder wenn du mindestens zwei der folgenden neun Fragen mit Ja beantwortest, heißt das, dass du eine DSFA durchführen solltest.

Damit du genau weißt, auf welche Art von Verarbeitungstätigkeit sich die einzelnen Fragen beziehen, geben wir dir neben den nötigen Informationen bei den strittigen Kriterien zusätzlich passende Beispiele an die Hand, wie sie dir in der Datenschutzpraxis begegnen können.

1. Schwellwertanalyse-Frage: Erfolgt eine Bewertung, Einstufung oder Charakterisierung („Profiling“) der Betroffenen durch den Verarbeitungsvorgang?

Unter dem Begriff „Profiling“ werden gewisse Verarbeitungsvorgänge zusammengefasst, bei denen persönliche Aspekte der betroffenen Person bewertet werden. Dazu gehören ihre

Arbeitsleistung,

wirtschaftliche Lage,

Gesundheit,

persönlichen Vorlieben und Interessen,

Zuverlässigkeit,

Verhaltensweisen und

Aufenthaltsorte oder Ortswechsel.

Beispiel

Um Profiling handelt es sich etwa, wenn dein Unternehmen anhand der wirtschaftlichen Lage der betroffenen Person oder durch die Speicherung ihrer Kaufvorlieben einen Kredit-Score für diese Person erstellt. In diesem Fall ist die erste Frage im Neun-Punkte-Katalog zu bejahen und du musst eine DSFA durchführen.

2. Schwellwertanalyse-Frage: Handelt es sich um eine maschinelle Verarbeitung, die bedeutsame Auswirkungen auf die betroffene Person hat?

Der erste Teil dieser Frage zielt darauf ab zu klären, ob eine Entscheidungsfindung komplett ohne menschliche Beteiligung stattfindet. Dabei liegt eine automatisierte Entscheidung vor, wenn sie ausschließlich mithilfe technischer Mittel getroffen wird.

Im zweiten Frageteil soll beurteilt werden, ob die automatisierte Entscheidung gestaltende Wirkung gegenüber der betroffenen Person ausübt. Eine solche bedeutsame Auswirkung ist gegeben, wenn der Datenverarbeitungsvorgang Rechtswirkung nach sich ziehen kann oder die Auswirkung möglicherweise faktisch folgenreicher Natur ist.

Beispiel

Eine voll automatisierte Online-Vergabe von Krediten oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen fallen unter diesen Punkt und müssen eine DSFA nach sich ziehen.

3. Schwellwertanalyse-Frage: Werden die betroffenen Personen durch die Verarbeitung systematisch überwacht, beobachtet oder kontrolliert?

Bei dieser Frage spielt der Begriff „systematisch“ eine große Rolle. Es gibt daher mehrere Kriterien, um zu bewerten, ob eine Überwachung, Beobachtung oder Kontrolle systematisch erfolgt. Das trifft zu, wenn sie

im Rahmen eines Systems erfolgt,

vorab festgelegt, organisiert oder methodisch ist,

als Teil eines Gesamtplans zur Datenerfassung stattfindet oder

als Teil einer Strategie durchgeführt wird.

Beispiel

Eine systematische Überwachung liegt bei einer Videoüberwachung vor oder wenn für die Verarbeitung auf Daten zurückgegriffen wird, die über Netzwerke erfasst wurden.

4. Schwellwertanalyse-Frage: Werden sensible personenbezogene Daten verarbeitet, aufgrund derer die betroffenen Personen diskriminiert oder missbraucht werden könnten?

Hier kommt es auf die besonderen Kategorien personenbezogener Daten an, die extra schutzwürdig sind. Dazu zählen solche, aus denen

die rassische und ethnische Herkunft,

die politischen Meinungen,

die religiöse oder weltanschaulichen Überzeugungen oder

die Gewerkschaftszugehörigkeit hervorgehen.

Außerdem schützt dieser Punkt die Betroffenen, wenn folgende Daten von ihnen verarbeitet werden:

Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln

vertrauliche Daten zum Beispiel zur elektronischen Kommunikation, dem Standort oder den Finanzen einer Person, die mögliche Risiken für Betroffene erhöhen könnten

5. Schwellwertanalyse-Frage: Werden Daten in großem Umfang verarbeitet?

Auch für die Beantwortung dieser Fragen liegen wieder mehrere Kriterien vor, anhand derer du die Datenverarbeitung beurteilen kannst und musst. Bei der Bewertung, ob es sich um Datenverarbeitung in einem großen Umfang handelt, fließen folgende Kriterien ein:

Anzahl der betroffenen Personen

verarbeitete Datenmenge

Bandbreite der verarbeiteten Datenelemente

Dauer oder Dauerhaftigkeit der Verarbeitung

geografisches Ausmaß der Datenverarbeitung

6. Schwellwertanalyse-Frage: Werden bei der Verarbeitung Datensätze abgeglichen oder zusammengeführt?

Mit diesem Kriterium wird der Fall abgedeckt, dass Datensätze, die von unterschiedlichen Verantwortlichen oder zu unterschiedlichen Zwecken erhoben wurden, zusammengeführt werden. Doch warum ist das so besonders, dass dadurch eine DSFA nötig wird? Das liegt daran, dass die Betroffenen eine solche Zusammenführung in der Regel nicht erwarten würden. Die DSFA muss allerdings nur getätigt werden, wenn die Zusammenführung oder Verarbeitung zusätzlich

in großem Umfang vorgenommen wird,

für Zwecke erfolgt, für die die Daten nicht direkt bei den Betroffenen erhoben wurden,

mithilfe von nicht nachvollziehbaren Algorithmen geschieht und

dafür geschieht, um damit Entscheidungen mit Rechtswirkung zu treffen.

7. Schwellwertanalyse-Frage: Werden Daten schutzbedürftiger Personen verarbeitet?

Wenn die Daten schutzbedürftiger Personen verarbeitet werden, ist eine Datenschutz-Folgenabschätzung wichtig, um mögliche Risiken einzuschätzen und ihnen vorzubeugen. Eine Person oder Personengruppe ist dann als schutzbedürftig anzusehen, wenn in ihrer Stellung gegenüber Verantwortlichen ein Machtungleichgewicht herrscht. Dazu gehören beispielsweise:

Kinder

Arbeitnehmer:innen

psychisch Kranke

Asylbewerber:innen

Senior:innen

Patient:innen

8. Schwellwertanalyse-Frage: Erfolgt die Verarbeitung durch innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen?

Neue Technologien bilden einen weiteren wichtigen Punkt auf der DSFA-Liste. Das lässt sich damit erklären, dass bei ihrem Einsatz häufig noch gar nicht absehbar ist, ob und wie sich die Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen auswirkt.

Beispiel

Mittlerweile gibt es zahlreiche Anwendungen, die Künstliche Intelligenz einsetzen. Wenn dein Unternehmen diese KI jedoch für den Kund:innen-Support oder die Auswertung von Telefonaten per Algorithmus nutzt, musst du eine DSFA durchführen.

Auch für die Zugangskontrolle mit einer Kombination aus Fingerabdruck- und Gesichtserkennung musst du eine Datenschutz-Folgenabschätzung machen.

9. Schwellwertanalyse-Frage: Wird den betroffenen Personen die Ausübung eines Rechts, die Nutzung einer Dienstleistung oder die Durchführung eines Vertrages durch den Verarbeitungsvorgang gestattet, geändert oder verwehrt?

Mit dieser Frage soll Datenverarbeitungen auf den Grund gegangen werden, die besondere Auswirkungen darauf haben, ob die betroffene Person ihre Rechte ausüben oder eine Dienstleistung nutzen kann.

Beispiel

Ein besonders beliebtes Beispiel ist das folgende: Eine Bank durchsucht eine Datenbank, die von einer Kreditauskunftei wie der SCHUFA, Creditreform Boniversum oder Avarto infoscore betrieben wird, nach Daten über einen oder eine potenzielle Kund:in. Die Bank möchte die Erkenntnisse nutzen, um über die Kreditvergabe zu entscheiden. Somit tritt der genannte Fall hinsichtlich der Auswirkungen für die betroffene Person ein; die Bank muss demnach eine DSFA durchführen.

Gut zu wissen:

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein gesetzlich vorgeschriebenes Verfahren. Es ist mit Art. 35 der Datenschutz-Grundverordnung (DSGVO) gesetzlich verankert. Eine DSFA musst du immer dann durchführen, wenn abzusehen ist, dass bei einer Datenverarbeitung – aufgrund ihrer Art, ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung – voraussichtlich ein hohes Risiko besteht, die Datenschutzrechte betroffener natürlicher Personen zu verletzen. Das ist zum Beispiel stets der Fall, wenn die Verarbeitungstätigkeit mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO zusammenhängt.

Fazit zur Schwellwert­analyse

Die Schwellwertanalyse ist eine wichtige Methodik in der Datenschutzpraxis. Sie dient zur Risikoeinschätzung von Verarbeitungstätigkeiten und hilft dir bei der Feststellung, ob du eine DSFA durchführen musst. Für die Durchführung hat sich der 9-Punkte-Katalog – also 9 Fragen – bewährt. Da die Bewertung einzelner Fragen mitunter komplex sein kann, bieten sich für die Schwellwertanalyse digitale Lösungen an, die mit Beispielen, Hinweisen und Hintergrundinformationen dienen können.

Die Datenschutzsoftware von caralegal erleichtert die Schwellwertanalyse und optimiert durch direkte Integration in das Verzeichnis von Verarbeitungstätigkeiten (VVT) die Erfassung risikobehafteter Datenverarbeitungsvorgänge. Klicke auf diesen Link um zu erfahren, wie die Schwellwertanalyse in caralegal funktioniert.

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Die 7 Gewährleistungsziele des SDM helfen dabei, effektiven Datenschutz zu betreiben.

7 SDM-Gewährleistungsziele

Mehr erfahren
Guide zum Standard-Datenschutzmodell mit Illustrationen und und praxisnahen Tipps

Standard-Datenschutzmodell - ein Praxis-Guide

Mehr erfahren
Auflistung der Top 5 Trends im Datenschutz 2024

Datenschutz 2024: Die Top 5 Entwicklungen

Mehr erfahren