caralegal logo

DSFA-Muss-Liste: Wann du eine Datenschutz-Folgen­abschätzung durchführen musst

Wenn dein Unternehmen personenbezogene Daten verarbeitet, muss du unter Umständen eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Welche Bedingungen dafür gelten, hängt in Deutschland jedoch mitunter von den Vorgaben der einzelnen Bundesländer ab. Damit du immer genau weißt, wann gemäß der Datenschutz-Grundverordnung (DSGVO) eine DSFA notwendig ist, haben wir für dich eine übersichtliche DSFA-Liste für alle Bundesländer zusammengestellt, die du dir in diesem Artikel herunterladen kannst.

25. August 2023
 | 
eine DSFA-Muss-Liste sorgt für mehr Übersicht im Datenschutz.

Unterschiedliche Vorgaben für Datenschutz-Folgen­abschätzung

Die rechtliche Grundlage für Datenschutz-Folgenabschätzungen bildet Art. 35 DSGVO. In den Absätzen 4 und 5 hat der Gesetzgeber festgehalten, dass die Aufsichtsbehörden eine DSFA-Muss-Liste sowie eine DSFA-Muss-Nicht-Liste erstellen müssen bzw. können. Die erste Liste enthält Verarbeitungstätigkeiten (VTs), die in jedem Fall eine Datenschutz-Folgenabschätzung voraussetzen. Die zweite wiederum listet VTs, für die eine DSFA von vornherein nicht nötig ist. Im föderalen Deutschland schlägt sich das in den unterschiedlichen DSFA-Listen der 16 Bundesländer nieder.

Während die Behörden bislang von Muss-Nicht-Listen Abstand genommen haben, haben zahlreiche Bundesländer eigene Vorgabenkataloge entwickelt, die dir sagen, bei welchen Verarbeitungstätigkeiten du eine DSFA durchführen musst. Einzelne Bundesländer haben dabei entweder eine eigene Liste erstellt oder auf jene der DSK (Datenschutzkonferenz) verwiesen. Die Durchsicht all dieser Dokumente kann in der Praxis mühsam ausfallen. Daher haben wir alle Vorgaben in einem einzigen Verzeichnis zusammengestellt, in dem du auf einen Blick erkennst, in welchem Bundesland welche VT eine DSFA erfordert. Diesen Katalog kannst du dir hier herunterladen, um ihn jederzeit zur Verfügung zu haben. Beachte aber, dass diese Liste nur für Deutschland gilt und im Ausland andere Vorgaben gelten können.

Jetzt DSFA-Muss-Liste herunterladen!

DSFA-Muss-Liste: die Grundlagenarbeit

Um herauszufinden, ob du für eine Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung erstellen musst, sind zwei Prüfschritte nötig:

Zunächst musst du abgleichen, ob die VT in der DSFA-Muss-Liste deines Bundeslandes enthalten ist. Dabei hilft dir beispielsweise die Übersicht in der caralegal-Software oder du nutzt die DSFA-Liste, die dir hier zum Download bereitsteht.

Ergibt dein Abgleich, dass die fragliche VT nicht in der DSFA-Liste inkludiert ist, bist du von der Durchführung einer Datenschutz-Folgenabschätzung jedoch noch nicht befreit: Bevor du Klarheit hast, musst du noch eine Schwellwertanalyse durchführen und dabei neun Fragen beantworten. Auf diesen Neun-Punkte-Katalog wollen wir hier genauer eingehen.

DSFA oder nicht? Diese 9 Fragen musst du beantworten

Um über die Notwendigkeit einer DSFA zu entscheiden, musst du die folgenden neun Fragen durchgehen. Sie basieren auf den Vorgaben, die der europäische Datenschutz-Ausschuss in seinen Leitlinien zur Datenschutz-Folgenabschätzung (Working Paper 248 rev. 01) im Jahr 2017 festgehalten hat. Die Beantwortung dieser Fragen dient der sogenannten Schwellwertanalyse und soll das Risiko einer Datenverarbeitung einordnen. Schon wenn du eine dieser Fragen mit Ja beantwortest, heißt das, dass du eine DSFA durchführen solltest.

Damit du genau weißt, auf welche Art von VT sich die einzelnen Fragen genau beziehen, geben wir dir neben den nötigen Informationen bei den strittigen Kriterien zusätzlich passende Beispiele an die Hand, wie sie dir in der Datenschutzpraxis begegnen können.

1. Erfolgt eine Bewertung, Einstufung oder Charakterisierung („Profiling“) der Betroffenen durch den Verarbeitungsvorgang?

Unter dem Begriff „Profiling“ werden gewisse Verarbeitungsvorgänge zusammengefasst, bei denen persönliche Aspekte der betroffenen Person bewertet werden. Dazu gehören ihre

Arbeitsleistung,

wirtschaftliche Lage,

Gesundheit,

persönlichen Vorlieben und Interessen,

Zuverlässigkeit,

Verhaltensweisen und

Aufenthaltsorte oder Ortswechsel.

Beispiel

Um Profiling handelt es sich etwa, wenn dein Unternehmen anhand der wirtschaftlichen Lage der betroffenen Person oder durch die Speicherung ihrer Kaufvorlieben einen Kredit-Score für diese Person erstellt. In diesem Fall ist die erste Frage im Neun-Punkte-Katalog zu bejahen und du musst eine DSFA durchführen.

2. Handelt es sich um eine maschinelle Verarbeitung, die bedeutsame Auswirkungen auf die betroffene Person hat?

Der erste Teil dieser Frage zielt darauf ab zu klären, ob eine Entscheidungsfindung komplett ohne menschliche Beteiligung stattfindet. Dabei liegt eine automatisierte Entscheidung vor, wenn sie ausschließlich mithilfe technischer Mittel getroffen wird.

Im zweiten Frageteil soll beurteilt werden, ob die automatisierte Entscheidung gestaltende Wirkung gegenüber der betroffenen Person ausübt. Eine solche bedeutsame Auswirkung ist gegeben, wenn der Datenverarbeitungsvorgang Rechtswirkung nach sich ziehen kann oder die Auswirkung möglicherweise faktisch folgenreicher Natur ist.

Beispiel

Eine voll automatisierte Online-Vergabe von Krediten oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen fallen unter diesen Punkt und müssen eine DSFA nach sich ziehen.

3. Werden die betroffenen Personen durch die Verarbeitung systematisch überwacht, beobachtet oder kontrolliert?

Bei dieser Frage spielt der Begriff „systematisch“ eine große Rolle. Es gibt daher mehrere Kriterien, um zu bewerten, ob eine Überwachung, Beobachtung oder Kontrolle systematisch erfolgt. Das trifft zu, wenn sie

im Rahmen eines Systems erfolgt,

vorab festgelegt, organisiert oder methodisch ist,

als Teil eines Gesamtplans zur Datenerfassung stattfindet oder

als Teil einer Strategie durchgeführt wird.

Beispiel

Eine systematische Überwachung liegt bei einer Videoüberwachung vor oder wenn für die Verarbeitung auf Daten zurückgegriffen wird, die über Netzwerke erfasst wurden.

4. Werden sensible personenbezogene Daten verarbeitet, aufgrund derer die betroffenen Personen diskriminiert oder missbraucht werden könnten?

Hier kommt es auf die besonderen Kategorien personenbezogener Daten an, die extra schutzwürdig sind. Dazu zählen solche, aus denen

die rassische und ethnische Herkunft,

die politischen Meinungen,

die religiöse oder weltanschaulichen Überzeugungen oder

die Gewerkschaftszugehörigkeit hervorgehen.

Außerdem schützt dieser Punkt die Betroffenen, wenn folgende Daten von ihnen verarbeitet werden:

Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln

vertrauliche Daten zum Beispiel zur elektronischen Kommunikation, dem Standort oder den Finanzen einer Person, die mögliche Risiken für Betroffene erhöhen könnten

5. Werden Daten in großem Umfang verarbeitet?

Auch für die Beantwortung dieser Fragen liegen wieder mehrere Kriterien vor, anhand derer du die Datenverarbeitung beurteilen kannst und musst. Bei der Bewertung, ob es sich um Datenverarbeitung in einem großen Umfang handelt, fließen folgende Kriterien ein:

Anzahl der betroffenen Personen

verarbeitete Datenmenge

Bandbreite der verarbeiteten Datenelemente

Dauer oder Dauerhaftigkeit der Verarbeitung

geografisches Ausmaß der Datenverarbeitung

6. Werden bei der Verarbeitung Datensätze abgeglichen oder zusammengeführt?

Mit diesem Kriterium wird der Fall abgedeckt, dass Datensätze, die von unterschiedlichen Verantwortlichen oder zu unterschiedlichen Zwecken erhoben wurden, zusammengeführt werden. Doch warum ist das so besonders, dass dadurch eine DSFA nötig wird? Das liegt daran, dass die Betroffenen eine solche Zusammenführung in der Regel nicht erwarten würden. Die DSFA muss allerdings nur getätigt werden, wenn die Zusammenführung oder Verarbeitung zusätzlich

in großem Umfang vorgenommen wird,

für Zwecke erfolgt, für die die Daten nicht direkt bei den Betroffenen erhoben wurden,

mithilfe von nicht nachvollziehbaren Algorithmen geschieht und

dafür geschieht, um damit Entscheidungen mit Rechtswirkung zu treffen.

7. Werden Daten schutzbedürftiger Personen verarbeitet?

Wenn die Daten schutzbedürftiger Personen verarbeitet werden, ist eine Datenschutz-Folgenabschätzung wichtig, um mögliche Risiken einzuschätzen und ihnen vorzubeugen. Eine Person oder Personengruppe ist dann als schutzbedürftig anzusehen, wenn in ihrer Stellung gegenüber Verantwortlichen ein Machtungleichgewicht herrscht. Dazu gehören beispielsweise:

Kinder

Arbeitnehmer:innen

psychisch Kranke

Asylbewerber:innen

Senior:innen

Patient:innen

8. Erfolgt die Verarbeitung durch innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen?

Neue Technologien bilden einen weiteren wichtigen Punkt auf der DSFA-Liste. Das lässt sich damit erklären, dass bei ihrem Einsatz häufig noch gar nicht absehbar ist, ob und wie sich die Verarbeitung auf die Rechte und Freiheiten der betroffenen Personen auswirkt.

Beispiel

Mittlerweile gibt es zahlreiche Anwendungen, die Künstliche Intelligenz einsetzen. Wenn dein Unternehmen diese KI jedoch für den Kund:innen-Support oder die Auswertung von Telefonaten per Algorithmus nutzt, musst du eine DSFA durchführen.

Auch für die Zugangskontrolle mit einer Kombination aus Fingerabdruck- und Gesichtserkennung musst du eine Datenschutz-Folgenabschätzung machen.

9. Wird den betroffenen Personen die Ausübung eines Rechts, die Nutzung einer Dienstleistung oder die Durchführung eines Vertrages durch den Verarbeitungsvorgang gestattet, geändert oder verwehrt?

Mit dieser Frage soll Datenverarbeitungen auf den Grund gegangen werden, die besondere Auswirkungen darauf haben, ob die betroffene Person ihre Rechte ausüben oder eine Dienstleistung nutzen kann.

Beispiel

Ein besonders beliebtes Beispiel ist das folgende: Eine Bank durchsucht eine Datenbank, die von einer Kreditauskunftei wie der SCHUFA, Creditreform Boniversum oder Avarto infoscore betrieben wird, nach Daten über einen oder eine potenzielle Kund:in. Die Bank möchte die Erkenntnisse nutzen, um über die Kreditvergabe zu entscheiden. Somit tritt der genannte Fall hinsichtlich der Auswirkungen für die betroffene Person ein; die Bank muss demnach eine DSFA durchführen.

Mit der DSFA-Muss-Liste rechtssicher arbeiten

Mit unserer Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, klärst du die Frage deiner Pflicht zur DSFA bezüglich einer einzelnen Verarbeitungstätigkeit – so setzt du die Vorgaben der DSGVO in deiner Arbeit verlässlich um.

Lade dir hier unsere praktische DSFA-Liste herunter, damit du dir immer sicher sein kannst, welche Vorgaben in deinem Bundesland gelten. Die Liste ist auch Teil unserer Datenschutzmanagement-Software, mit der du stets auf dem neuesten rechtlichen Stand bist und den Datenschutz optimal in deine Prozesse integrieren kannst.

Jetzt DSFA-Muss-Liste herunterladen!

Ähnliche Beiträge

Entdecke weitere Beiträge zu diesem Thema:

Vergleich von DSGVO und nDSG

nDSG vs. DSGVO im Vergleich

Mehr erfahren

Wörterbuch für die Datenschutzpraxis

Mehr erfahren

47 gesetzliche Aufbewahrungsfristen für Ihr DSGVO-Löschkonzept

Mehr erfahren

Jetzt zum caralegal-Newsletter anmelden

Wir informieren monatlich zu den Best Practices aus der Welt des Datenschutzmanagements und mehr.

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Vielen Dank für das Interesse an unserem Newsletter. Bitte bestätigen Sie Ihre Anmeldung in Ihrem E-Mail-Postfach.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Datenschutzthemen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.