Ratgeber / Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung (DSFA) ist das Risikoinstrument der DSGVO: Wo eine Verarbeitung voraussichtlich ein hohes Risiko birgt, muss der Verantwortliche die Folgen vorab bewerten. Hier findest du, wann sie Pflicht ist, welche drei Fälle sie zwingend auslösen, was sie mindestens enthalten muss und wann zusätzlich die Aufsichtsbehörde zu konsultieren ist — jede Aussage mit Fundstelle.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung — kurz DSFA, englisch „Data Protection Impact Assessment" (DPIA) — ist eine vorab durchzuführende Bewertung der Folgen einer geplanten Verarbeitung für den Schutz personenbezogener Daten. Sie ist Ausdruck des risikobasierten Ansatzes der DSGVO: Je höher das Risiko für die betroffenen Personen, desto strenger die Pflichten des Verantwortlichen. Nach Art. 35 Abs. 1 DSGVO ist sie durchzuführen, wenn eine Form der Verarbeitung — insbesondere bei Verwendung neuer Technologien — aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Merksatz: Die DSFA ist ein vorgelagertes Instrument. Sie wird nach Art. 35 Abs. 1 DSGVO „vorab" — also vor Beginn der Verarbeitung — durchgeführt, nicht erst, wenn bereits Daten verarbeitet werden. Sie ist kein Antrag an eine Behörde, sondern eine eigene Analyse des Verantwortlichen.

Wann ist eine DSFA Pflicht? (Abs. 1 und 3)

Der Auslöser ist das voraussichtlich hohe Risiko nach Art. 35 Abs. 1 DSGVO. Für die praktische Anwendung nennt Art. 35 Abs. 3 DSGVO drei Fälle, in denen eine DSFA insbesondere erforderlich ist:

  • a) Profiling / Scoring: eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
  • b) Sensible Daten in großem Umfang: eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10.
  • c) Überwachung öffentlicher Bereiche: eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (etwa eine flächendeckende Videoüberwachung).

Das Wort „insbesondere" macht deutlich, dass diese Aufzählung nicht abschließend ist: Auch außerhalb der drei Fälle kann ein voraussichtlich hohes Risiko nach Abs. 1 eine DSFA verlangen. Welche Datenkategorien als „besondere" im Sinne von Art. 9 Abs. 1 gelten, ordnet der Artikel zu den Betroffenenrechten in den Gesamtzusammenhang ein.

Rat des Datenschutzbeauftragten (Abs. 2)

Ist ein Datenschutzbeauftragter benannt, so holt der Verantwortliche nach Art. 35 Abs. 2 DSGVO bei der Durchführung der Folgenabschätzung dessen Rat ein. Die Verantwortung für die DSFA bleibt jedoch beim Verantwortlichen — der Datenschutzbeauftragte berät und überwacht, entscheidet aber nicht an dessen Stelle.

Positiv- und Negativliste der Aufsichtsbehörde (Abs. 4 und 5)

Um Rechtssicherheit zu schaffen, gibt die DSGVO den Aufsichtsbehörden zwei Listeninstrumente an die Hand:

  • Positivliste (Abs. 4): Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die eine DSFA durchzuführen ist, und veröffentlicht sie. Diese Pflicht ist verbindlich formuliert.
  • Negativliste (Abs. 5): Die Aufsichtsbehörde kann darüber hinaus eine Liste der Verarbeitungsvorgänge veröffentlichen, für die keine DSFA erforderlich ist. Diese Liste ist fakultativ.

Für mehrere ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken kann nach Art. 35 Abs. 1 Satz 2 DSGVO eine einzige Abschätzung vorgenommen werden — es muss also nicht für jeden Einzelvorgang eine gesonderte DSFA erstellt werden.

Mindestinhalt der DSFA (Abs. 7)

Art. 35 Abs. 7 DSGVO legt fest, was eine Folgenabschätzung mindestens enthalten muss — vier Bestandteile:

  • a) Beschreibung: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke, gegebenenfalls einschließlich der verfolgten berechtigten Interessen.
  • b) Notwendigkeit & Verhältnismäßigkeit: eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • c) Risikobewertung: eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  • d) Abhilfemaßnahmen: die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, mit denen der Datenschutz sichergestellt und die Einhaltung der Verordnung nachgewiesen wird.

Wo dies angemessen ist, holt der Verantwortliche nach Art. 35 Abs. 9 DSGVO zusätzlich den Standpunkt der betroffenen Personen oder ihrer Vertreter zur beabsichtigten Verarbeitung ein. Ändert sich das Risiko, ist die Verarbeitung nach Art. 35 Abs. 11 DSGVO erforderlichenfalls zu überprüfen — die DSFA ist damit kein einmaliges Dokument, sondern fortlaufend zu pflegen.

3 Fälle
Regelbeispiele (Art. 35 Abs. 3 a–c)
4 Inhalte
Mindestinhalt (Art. 35 Abs. 7 a–d)
8 Wochen
Frist der Behörde (Art. 36 Abs. 2)

Vorherige Konsultation der Aufsichtsbehörde (Art. 36)

Die DSFA und die vorherige Konsultation gehören zusammen. Ergibt die Folgenabschätzung, dass die Verarbeitung trotz geplanter Maßnahmen ein hohes Risiko zur Folge hätte, greift Art. 36 DSGVO: Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus der DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern er keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 Abs. 1).

Die Aufsichtsbehörde erteilt dem Verantwortlichen dann nach Art. 36 Abs. 2 DSGVO innerhalb von bis zu acht Wochen nach Erhalt des Ersuchens eine schriftliche Empfehlung, wenn sie der Auffassung ist, dass die Verarbeitung gegen die Verordnung verstößt. Diese Frist kann unter Berücksichtigung der Komplexität der geplanten Verarbeitung um sechs Wochen verlängert werden. Für die Konsultation stellt der Verantwortliche der Behörde nach Art. 36 Abs. 3 unter anderem die Zwecke und Mittel der Verarbeitung, die vorgesehenen Schutzmaßnahmen, gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten und die Datenschutz-Folgenabschätzung selbst zur Verfügung.

DSFA ≠ automatische Behördenmeldung: Nicht jede DSFA führt zu einer Konsultation. Erst wenn ein hohes Restrisiko trotz der geplanten Maßnahmen verbleibt, ist die Aufsichtsbehörde nach Art. 36 Abs. 1 vorab einzuschalten. Lässt sich das Risiko durch Abhilfemaßnahmen ausreichend senken, entfällt die Konsultationspflicht.

Bußgeldrahmen bei Verstößen (Art. 83 Abs. 4)

Wird eine erforderliche DSFA nicht durchgeführt, mangelhaft erstellt oder die vorherige Konsultation unterlassen, ist das bußgeldbewehrt. Verstöße gegen Art. 35 und Art. 36 fallen unter Art. 83 Abs. 4 lit. a DSGVO, der die Artikel 25 bis 39 erfasst — und damit beide Vorschriften. Der Bußgeldrahmen beträgt bis zu 10 Millionen Euro oder — im Fall eines Unternehmens — bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Die Grundprinzipien der Verarbeitung fasst die Seite zu den DSGVO-Grundlagen zusammen; wie sich Risiken in eine Panne verwandeln können und was dann gilt, zeigt der Artikel zur Meldepflicht bei Datenpannen. Welche Verarbeitungen überhaupt dokumentiert werden, hält das Verzeichnis von Verarbeitungstätigkeiten fest.

Häufige Fragen

Muss für jede Verarbeitung eine DSFA erstellt werden?

Nein. Eine DSFA ist nach Art. 35 Abs. 1 DSGVO nur erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 nennt dafür drei Regelbeispiele (Profiling mit erheblichen Folgen, umfangreiche Verarbeitung besonderer Datenkategorien, systematische Überwachung öffentlicher Bereiche). Bei niedrigem Risiko besteht keine DSFA-Pflicht.

Was passiert, wenn nach der DSFA ein hohes Risiko bleibt?

Dann ist nach Art. 36 Abs. 1 DSGVO vor Beginn der Verarbeitung die Aufsichtsbehörde zu konsultieren. Sie erteilt innerhalb von bis zu acht Wochen — bei komplexen Verarbeitungen verlängerbar um sechs Wochen — eine schriftliche Empfehlung, wenn die geplante Verarbeitung aus ihrer Sicht gegen die DSGVO verstößt (Art. 36 Abs. 2).

Risikoinstrumente der DSGVO sicher beherrschen

Übe Art. 35 und 36 DSGVO und alle weiteren Themengebiete mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).

Kostenlos registrieren