Die Datenschutz-Folgenabschätzung (DSFA) – Teil 2

Datenschutzfolgenabschätzung (DSFA)

Die Schwellwertanalyse ist der DSFA vorgeschaltet

Die Schwellwertanalyse ist ein vorgeschalteter Schritt im Rahmen einer Datenschutz-Folgen­ab­schät­zung (DSFA). Sie dient dazu, zu bestimmen, ob die Durchführung einer DSFA erforderlich ist. Im Rahmen der Schwellwertanalyse wird eine Einschätzung vorgenommen, welches Risiko eine Verarbeitung personenbezogener Daten mit sich bringt.
 
Die für den Datenschutz zuständige Aufsichtsbehörde kann gemäß Art. 35 Abs. (5) DS-GVO eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgen­abschätzung erforderlich ist.
 
Liegt eine solche Liste vor, ist diese für die Durchführung der Schwellwertanalyse sehr hilfreich.
 
Ergibt sich bei der Vorbereitung der Schwellwertanalyse anhand der Überprüfung der oben genannten Liste, dass Verarbeitungsvorgänge im Unternehmen vorhanden sind, welche nicht auf der Liste genannt werden, so schlägt die Datenschutzbehörde in Niedersachsen folgende Prüfungsreihenfolge vor (Stand der Information Januar 2025):
  1. Überprüfung, ob der Verarbeitungsvorgang auf der Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist genannt wird.
  2. Wenn der Verarbeitungsvorgang nicht auf der Liste genannt wird, ist zu prüfen, ob gemäß Art. 35 Abs. 3 DS-GVO eine DSFA erforderlich ist.
    Hier der Wortlaut des betreffenden Absatzes: „Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen oder umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
  3. Falls der Verarbeitungsvorgang auch nicht unter Art. 35 Abs. 3 DS-GVO fällt, ist zu prüfen, ob dennoch ein hohes Risiko gemäß Art. 35 Abs. 1 DS-GVO vorliegt.
    Hier der Wortlaut des betreffenden Absatzes (Auszug): „Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
    Ist dies nicht der Fall, muss keine DSFA durchgeführt werden.

Fazit zur Schwellwertanalyse

Die Schwellwertanalyse hilft dabei, potenzielle Risiken für die Rechte und Freiheiten natürlicher Personen zu identifizieren. Wenn die Analyse ergibt, dass ein hohes Risiko besteht, muss eine detaillierte DSFA durchgeführt werden. Diese DSFA betrachtet die Risiken umfassend und sucht nach Maßnahmen, um diese wirksam zu verringern.
 
Die Entscheidung, ob eine DSFA durchgeführt werden muss oder nicht, wird dokumentiert und zur Datenschutzdokumentation hinzugefügt. Dabei werden alle relevanten Faktoren berücksichtigt, um eine fundierte Entscheidung zu treffen. Die Schwellwertanalyse stellt somit sicher, dass die Erfordernis zur Durchführung einer DSFA rechtskonform festgestellt wird.