Schwellwertanalyse im Datenschutz: Anleitung mit 9 Fragen

Die Schwellwertanalyse ist eine Vorstufe zur Datenschutz-Folgenabschätzung (DSFA). Sie dient in erster Linie dazu, festzustellen, ob eine Datenschutz-Folgenabschätzung notwendig ist. Gegenstand der Analyse ist die Frage, ob ein hohes Risiko besteht, dass der untersuchte Verarbeitungsvorgang die Rechte und Freiheiten natürlicher Personen einschränkt. Ist dies gegeben, sprechen Jurist:innen im Datenschutzrecht davon, dass die Verarbeitungstätigkeit den Schwellwert dieser Risiken überschreitet, daher die Bezeichnung des Verfahrens als Schwellwertanalyse.

Die Schwellwertanalyse und die Datenschutz-Folgenabschätzung werden häufig verwechselt, verfolgen aber unterschiedliche Zwecke: Die Schwellwertanalyse klärt, ob eine DSFA nötig ist. Die DSFA selbst bewertet die identifizierten Risiken systematisch und dokumentiert Maßnahmen zu ihrer Minderung. Eine Schwellwertanalyse ohne anschließende DSFA, obwohl das Ergebnis dies fordert, ist ein Datenschutzverstoß.

Um eine Einschätzung über das potentielle Risiko einer Verarbeitungstätigkeit (VT) zu erhalten, haben sich in der Praxis die folgenden zwei Schritten etabliert:

1. Prüfen Sie zuerst, ob die VT in einer DSFA-Muss-Liste (auch bekannt als "Blacklist") enthalten ist. Falls ja, müssen Sie für diese VT unmittelbar eine Datenschutz-Folgenabschätzung durchführen.
2. Falls die VT nicht in der DSFA-Muss-Liste enthalten ist, führen Sie eine Schwellwertanalyse durch, in welcher Sie 9 Fragen zur Abklärung der potentiellen Risiken beantworten (siehe Anleitung weiter unten im Blog)

Tipp: Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO liefert Ihnen alle nötigen Informationen, die als Basis für die Schwellwertanalyse dienen. Diese Analyse stellt einen vorgelagerten Schritt zur Datenschutz-Folgenabschätzung dar. Stellt sich im Ergebnis  ein hohes Risiko heraus, ist die anknüpfende DSFA gesetzlich verpflichtend.

In der Praxis beginnt eine saubere Schwellwertanalyse nicht bei der letzten Frage, sondern bei einer vollständigen Dokumentation im Verzeichnis von Verarbeitungstätigkeiten. Dort liegen die Informationen bereits vor, die Sie für die Bewertung von Zweck, Umfang, Datenkategorien, Empfängern und Risiken benötigen. Wer sein VVT strukturiert pflegt, kann Schwellwertanalysen schneller durchführen, Entscheidungen nachvollziehbar dokumentieren und bei einer DSFA direkt auf belastbare Grundlagen aufbauen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat im Januar 2024 zufällig ausgewählte Unternehmen aufgefordert, alle VVT-Einträge offenzulegen, bei denen eine Schwellwertanalyse ein hohes Risiko ergab. Wer nicht nachkam, riskierte Bußgelder und eine vertiefte Behördenprüfung. Es ist zu erwarten, dass weitere Datenschutzbehörden diesem Vorgehen folgen werden.

Wer Schwellwertanalysen, Verarbeitungstätigkeiten und Folgemaßnahmen sauber zusammenführt, kann Behördenauskünfte schneller und konsistenter beantworten. Das spart Zeit, reduziert Abstimmungsaufwand und macht Datenschutz belastbar. 

Wer proaktiv auf eine akribische und vollständige Dokumentation von Verarbeitungstätigkeiten Wert legt, kann einer Behördenanfrage rasch und relativ unkompliziert nachkommen, schont Ressourcen und vermeidet Konsequenzen.

Die Schwellwertanalyse wird anhand eines 9-Punkte-Katalogs durchgeführt, der auf den Leitlinien des Europäischen Datenschutzausschusses (EDSA, Working Paper 248 rev. 01, 2017) basiert.  Die Regel ist klar: 

Ist die Verarbeitungstätigkeit in der DSFA-Muss-Liste enthalten oder werden mindestens zwei der neun Fragen mit Ja beantwortet, ist eine DSFA nach Art. 35 DSGVO verpflichtend. 

Zu jedem Kriterium finden Sie eine Erläuterung und, wo hilfreich, ein Praxisbeispiel.

1. Erfolgt eine Bewertung, Einstufung oder Charakterisierung („Profiling“) der Betroffenen durch den Verarbeitungsvorgang?

   Unter dem Begriff „Profiling“ werden gewisse Verarbeitungsvorgänge zusammengefasst, bei denen persönliche Aspekte der betroffenen Person bewertet werden. Dazu gehören Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, Zuverlässigkeit, Verhaltensweisen sowie Aufenthaltsorte oder Ortswechsel.

   Beispiel: Wenn Ihr Unternehmen anhand der wirtschaftlichen Lage der betroffenen Person oder durch die Speicherung ihrer Kaufvorlieben einen Kredit-Score erstellt, handelt es sich um Profiling. Die erste Frage ist zu bejahen und eine DSFA erforderlich.

   Einordnung: Profiling liegt bereits vor, wenn Daten systematisch zur Bewertung einer Person genutzt werden, auch ohne vollautomatisierte Entscheidung.

2. Handelt es sich um eine maschinelle Verarbeitung, die bedeutsame Auswirkungen auf die betroffene Person hat?

   Eine maschinelle Entscheidung liegt vor, wenn sie ausschließlich mit Hilfe technischer Mittel getroffen wird, ohne menschliche Beteiligung. Bedeutsame Auswirkung ist gegeben, wenn der Verarbeitungsvorgang Rechtswirkung nach sich ziehen kann oder faktisch folgenreich ist.

   Beispiel: Eine voll automatisierte Online-Kreditvergabe oder ein Einstellungsverfahren ohne menschliches Eingreifen fallen unter diesen Punkt.

   Einordnung: Beide Bedingungen müssen gemeinsam erfüllt sein: vollautomatisiert und bedeutsam. Eine automatisierte Vorauswahl mit menschlicher Endentscheidung reicht allein nicht aus.

3. Werden die betroffenen Personen durch die Verarbeitung systematisch überwacht, beobachtet oder kontrolliert?

   Bei dieser Frage spielt der Begriff „systematisch“ eine große Rolle. Es gibt daher mehrere Kriterien, um zu bewerten, ob eine Überwachung, Beobachtung oder Kontrolle systematisch erfolgt. Das trifft zu, wenn sie im Rahmen eines Systems erfolgt, vorab festgelegt, organisiert oder methodisch ist, als Teil eines Gesamtplans zur Datenerfassung stattfindet oder als Teil einer Strategie durchgeführt wird.

   Beispiel: Eine systematische Überwachung liegt bei einer Videoüberwachung vor oder wenn für die Verarbeitung auf Daten zurückgegriffen wird, die über Netzwerke erfasst wurden.

4. Werden besondere Kategorien personenbezogener Daten verarbeitet?

   Besonders schutzwürdig sind Daten, aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen. Ebenso betroffen sind Daten über strafrechtliche Verurteilungen sowie vertrauliche Daten zur Kommunikation, zum Standort oder zu den Finanzen einer Person.

   Einordnung: Bereits die Verarbeitung einer einzigen dieser Datenkategorien genügt, um diesen Punkt zu bejahen.

5. Werden Daten in großem Umfang verarbeitet?

   Bei der Bewertung fließen folgende Kriterien ein: Anzahl der betroffenen Personen, verarbeitete Datenmenge, Bandbreite der Datenelemente, Dauer oder Dauerhaftigkeit der Verarbeitung sowie das geografische Ausmaß.

   Einordnung: Es gibt keinen festen Schwellenwert. Die Kriterien sind kumulativ zu bewerten. Ein kleines Unternehmen mit hochsensiblen Daten kann diesen Punkt ebenso erfüllen wie ein Konzern mit Massendaten.

6. Werden bei der Verarbeitung Datensätze abgeglichen oder zusammengeführt?

   Dieser Punkt deckt Fälle ab, in denen Datensätze, die von unterschiedlichen Verantwortlichen oder zu unterschiedlichen Zwecken erhoben wurden, zusammengeführt werden. Doch warum ist das so besonders, dass dadurch eine DSFA nötig wird? Das liegt daran, dass die Betroffenen eine solche Zusammenführung in der Regel nicht erwarten würden. Die DSFA muss allerdings nur getätigt werden, wenn die Zusammenführung oder Verarbeitung zusätzlich in großem Umfang vorgenommen wird, für Zwecke erfolgt, für die die Daten nicht direkt bei den Betroffenen erhoben wurden, mithilfe von nicht nachvollziehbaren Algorithmen geschieht und dafür geschieht, um damit Entscheidungen mit Rechtswirkung zu treffen.

7. Werden Daten schutzbedürftiger Personen verarbeitet?

   Wenn die Daten schutzbedürftiger Personen verarbeitet werden, ist eine Datenschutz-Folgenabschätzung wichtig, um mögliche Risiken einzuschätzen und ihnen vorzubeugen. Eine Person oder Personengruppe ist dann als schutzbedürftig anzusehen, wenn in ihrer Stellung gegenüber den Verantwortlichen ein Machtungleichgewicht herrscht. Dazu gehören beispielsweise:

   • Kinder
   • Arbeitnehmer:innen
   • psychisch Kranke
   • Asylbewerber:innen
   • Senior:innen
   • Patient:innen

8. Erfolgt die Verarbeitung durch innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen?

   Neue Technologien bilden einen weiteren wichtigen Punkt auf der DSFA-Liste. Das lässt sich damit erklären, dass bei ihrem Einsatz häufig noch gar nicht absehbar ist, ob und wie sich die Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen auswirkt.

   Beispiel: KI für den Kund:innen-Support oder die algorithmische Auswertung von Telefonaten sowie biometrische Zugangskontrolle mit Fingerabdruck- und Gesichtserkennung.

9. Wird den betroffenen Personen die Ausübung eines Rechts, die Nutzung einer Dienstleistung oder die Durchführung eines Vertrages durch den Verarbeitungsvorgang gestattet, geändert oder verwehrt?

   Diese Frage betrifft Verarbeitungen, die direkt darüber entscheiden, ob eine Person ihre Rechte ausübt oder eine Dienstleistung nutzen kann.

   Beispiel: Eine Bank, die Daten einer Kreditauskunftei wie der SCHUFA nutzt, um über eine Kreditvergabe zu entscheiden. Das Ergebnis beeinflusst unmittelbar, ob der Kredit gewährt wird.

   Einordnung: Entscheidend ist die Finalität. Wenn die Verarbeitung darüber bestimmt, was einer Person zusteht oder verwehrt wird, ist dieser Punkt zu bejahen.

   Gut zu wissen: Eine Datenschutz-Folgenabschätzung (DSFA) ist ein gesetzlich vorgeschriebenes Verfahren. Es ist mit Art. 35 der Datenschutz-Grundverordnung (DSGVO) gesetzlich verankert. Eine DSFA müssen Sie immer dann durchführen, wenn abzusehen ist, dass bei einer Datenverarbeitung aufgrund ihrer Art, ihres Umfangs, der Umstände oder des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko besteht, dass die Datenschutzrechte betroffener natürlicher Personen verletzt werden. Das ist z. B. stets der Fall, wenn die Verarbeitungstätigkeit mit besonderen Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO zusammenhängt.

In der Praxis entfalten Schwellwertanalyse und DSFA ihren vollen Nutzen erst, wenn sie systematisch in das Datenschutzmanagementsystem eingebettet sind. caralegal unterstützt Datenschutzteams dabei, Schwellwertanalysen direkt mit dem Verzeichnis von Verarbeitungstätigkeiten, Risikobewertungen und der anschließenden DSFA zu verbinden. So entsteht ein durchgängiger Prozess statt einzelner Excel-Listen oder verteilter Abstimmungen per E-Mail. Fachbereiche können strukturiert mitarbeiten, während Datenschutzverantwortliche den Überblick über Risiken, Entscheidungen und Nachweise behalten.

Einen Überblick über typische Datenschutzrisiken bei Verarbeitungstätigkeiten bietet die caralegal-Liste mit 80+ Datenschutzrisiken. Wer die DSFA zusätzlich mit Excel durchführen möchte, findet eine strukturierte Anleitung im Artikel zur Datenschutz-Folgenabschätzung mit Excel.

Die Schwellwertanalyse ist kein optionaler Prüfschritt, sondern eine rechtliche Voraussetzung für den datenschutzkonformen Umgang mit Verarbeitungstätigkeiten. Sie schützt Unternehmen vor unbemerkten DSFA-Versäumnissen und ist, wie das BayLDA-Verfahren 2024 gezeigt hat, aktiver Gegenstand behördlicher Prüfungen.

Für die Durchführung hat sich der 9-Punkte-Katalog bewährt. Da die Bewertung einzelner Fragen mitunter komplex sein kann, bieten sich digitale Lösungen an, die mit Beispielen, Hinweisen und Hintergrundinformationen unterstützen.

Die Datenschutzsoftware von caralegal integriert die Schwellwertanalyse direkt in das Verzeichnis von Verarbeitungstätigkeiten und verbindet sie mit Risikobewertungen und der anschließenden DSFA, sodass ein durchgängiger, prüfungsfähiger Prozess entsteht.