Datenschutz-Folgenabschätzung

Begriff und rechtlicher Hintergrund der Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA), im internationalen Kontext auch als Data Protection Impact Assessment (DPIA) bezeichnet, ist ein zentrales Instrument des Datenschutzrechts zur Bewertung und Kontrolle potenzieller Risiken bei der Verarbeitung personenbezogener Daten. Sie dient der Identifikation, Analyse und Minimierung datenschutzrechtlicher Risiken bereits vor der Durchführung von Verarbeitungsvorgängen. Die gesetzliche Grundlage der DSFA ist insbesondere in Artikel 35 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union geregelt.

Zweck und Zielsetzung der Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung verfolgt das Ziel, bereits im Vorfeld datenschutzrelevanter Technologien und Prozesse Risiken für die Rechte und Freiheiten natürlicher Personen zu erkennen und angemessene Abhilfemaßnahmen zu ergreifen. Im Fokus stehen dabei die Verhältnismäßigkeit und Angemessenheit der Datenverarbeitung sowie der Schutz sensibler personenbezogener Daten.

Rechtliche Grundlagen der Datenschutz-Folgenabschätzung

Artikel 35 DSGVO als zentrale Norm

Die rechtlichen Anforderungen an die DSFA ergeben sich im Wesentlichen aus Artikel 35 DSGVO. Nach Absatz 1 dieser Vorschrift ist eine Datenschutz-Folgenabschätzung insbesondere dann verpflichtend, wenn eine Form der Verarbeitung insbesondere unter Verwendung neuer Technologien, aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Wesentliche Regelungsinhalte von Artikel 35 DSGVO

• Pflicht zur Durchführung: Verantwortliche müssen stets prüfen, ob ein hohes Risiko im Sinne der Norm besteht.
• Kriterien der Risikoabschätzung: Art, Umfang, Umstände und Zwecke der Verarbeitung müssen umfassend gewürdigt werden.
• Behördliche Beratung: Ergibt sich ein nicht zu beherrschendes Risiko, ist nach Artikel 36 DSGVO eine Konsultation der zuständigen Aufsichtsbehörde erforderlich.
• Dokumentation: Die DSFA und ihre Ergebnisse sind zu dokumentieren und aufbewahrungspflichtig.

Nationale Vorschriften und Konkretisierungen

Neben der DSGVO existieren in einigen EU-Mitgliedsstaaten spezifische Ergänzungen und Konkretisierungen auf nationaler Ebene, die besondere Anforderungen an die Durchführung und den Inhalt der Datenschutz-Folgenabschätzung regeln.

Anwendungsbereich und Pflicht zur Datenschutz-Folgenabschätzung

Typische Verarbeitungssituationen mit DSFA-Pflicht

Eine DSFA ist gemäß den gesetzlichen Vorgaben insbesondere immer dann erforderlich, wenn

• systematische und umfangreiche Bewertungen persönlicher Aspekte natürlicher Personen erfolgen (z.B. Profiling),
• umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 DSGVO erfolgt (z.B. Gesundheitsdaten, biometrische Daten),
• eine systematische Überwachung öffentlich zugänglicher Bereiche in großem Umfang stattfindet.

Die europäischen Datenschutzaufsichtsbehörden, darunter der Europäische Datenschutzausschuss (EDSA), veröffentlichen regelmäßig sogenannte „Blacklists“ typischer Verarbeitungsvorgänge, die eine DSFA zwingend erforderlich machen.

Ausnahmen und Erleichterungen

Nicht jede Datenverarbeitung verlangt eine DSFA. Wo die Art der Verarbeitung mitsamt ergriffener Maßnahmen voraussichtlich kein hohes Risiko begründet oder eine ähnliche Datenschutz-Folgenabschätzung bereits vorgenommen wurde, kann auf eine erneute Durchführung verzichtet werden. Maßgeblich ist jedoch stets eine Beurteilung im Einzelfall.

Ablauf und Inhalt einer Datenschutz-Folgenabschätzung

Verfahrensschritte nach den gesetzlichen Vorgaben

Die Datenschutz-Folgenabschätzung gliedert sich in verschiedene Verfahrensphasen:

1. Beschreibung der geplanten Datenverarbeitung: Detaillierte Darstellung des Zwecks, Umfangs, der Datenarten, der betroffenen Personen und der Empfänger.
2. Notwendigkeits- und Verhältnismäßigkeitsprüfung: Bewertung, ob die Datenverarbeitung zur Erreichung ihres Zwecks geeignet, erforderlich und angemessen ist.
3. Risikoidentifikation und Bewertung: Analyse möglicher Gefährdungen für die Rechte und Freiheiten der betroffenen Personen (etwa Datenverlust, unbefugte Weitergabe).
4. Risikomindernde Maßnahmen: Darstellung geplanter oder bereits ergriffener Maßnahmen zur Reduzierung und Beherrschung identifizierter Risiken (z.B. Pseudonymisierung, Verschlüsselung, Zugriffsbeschränkungen).
5. Bewertung des Restrisikos: Einschätzung, ob trotz bestehender Schutzmaßnahmen ein hohes Restrisiko verbleibt.

Einbindung der Aufsichtsbehörden

Sofern die Schutzmaßnahmen nicht ausreichen, das hohe Risiko adäquat zu beseitigen, ist eine Konsultation der zuständigen Aufsichtsbehörde zwingend erforderlich (Artikel 36 DSGVO).

Dokumentations- und Aufbewahrungspflichten

Die DSFA selbst, ihre Ergebnisse sowie die getroffenen Abhilfemaßnahmen sind systematisch zu dokumentieren. Gemäß Artikel 35 Absatz 7 DSGVO umfasst die Dokumentation mindestens:

• Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung.
• Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung.
• Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
• Die zur Bewältigung dieser Risiken geplanten Maßnahmen, Garantien und Verfahren zum Schutz personenbezogener Daten.

Diese Dokumente sind der Aufsichtsbehörde auf Verlangen vorzulegen.

Rechtsfolgen bei Missachtung der Datenschutz-Folgenabschätzung

Verstöße gegen die Verpflichtung zur Durchführung einer erforderlichen Datenschutz-Folgenabschätzung sind bußgeldbewehrt nach Artikel 83 DSGVO. Geldbußen können sich dabei auf bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres belaufen. Darüber hinaus können datenschutzrechtliche Anordnungen der Aufsichtsbehörde wie Verarbeitungseinschränkungen oder -verbote ergehen.

Bedeutung der Datenschutz-Folgenabschätzung für die Praxis

Die DSFA ist ein zentrales Instrument zur Einhaltung und Umsetzung eines datenschutzkonformen Umgangs mit personenbezogenen Daten und dient als präventives Risikomanagement. Sie stärkt die Rechenschaftspflicht der Verantwortlichen und fördert das öffentliche Vertrauen in datenverarbeitende Stellen. Unternehmen und Organisationen müssen regelmäßig prüfen, ob und wann eine DSFA erforderlich ist, um Rechtskonformität und Datensicherheit zu gewährleisten.

Fazit

Die Datenschutz-Folgenabschätzung stellt ein umfassendes Prüf- und Dokumentationsverfahren dar, das die Rechte und Freiheiten natürlicher Personen im datenverarbeitenden Umfeld schützt und die Anforderungen der DSGVO konkretisiert. Sie bildet einen wesentlichen Baustein in der Governance moderner Datenverarbeitung und ist für datenverarbeitende Stellen ein zentrales Compliance-Instrument.

Häufig gestellte Fragen

Wann ist eine Datenschutz-Folgenabschätzung nach der DSGVO verpflichtend?

Eine Datenschutz-Folgenabschätzung (DSFA) ist gemäß Art. 35 DSGVO verpflichtend, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Typische Beispiele hierfür sind umfangreiche und systematische Überwachungen öffentlich zugänglicher Bereiche, Profiling oder die Verarbeitung besonders sensibler personenbezogener Daten. Die verantwortliche Stelle muss vor Beginn der Verarbeitung prüfen, ob eine DSFA notwendig ist. Nationale Aufsichtsbehörden veröffentlichen zusätzlich Listen von Verarbeitungstätigkeiten, bei denen eine DSFA zwingend durchzuführen ist („Blacklist“) oder in der Regel nicht erforderlich ist („Whitelist“). Wird trotz gesetzlicher Verpflichtung keine DSFA durchgeführt, drohen Bußgelder bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens.

Welche Anforderungen stellt die DSGVO an den Inhalt einer Datenschutz-Folgenabschätzung?

Die DSGVO fordert gemäß Art. 35 Abs. 7, dass eine Datenschutz-Folgenabschätzung mindestens folgende Inhalte behandelt: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Hinblick auf die Zwecke, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die geplanten Abhilfemaßnahmen zur Bewältigung dieser Risiken – einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren zur Sicherstellung des Schutzes personenbezogener Daten und zum Nachweis der Einhaltung der DSGVO. Auch sollte dargestellt werden, wie die Interessen der betroffenen Personen gewahrt werden und ob externe Fachmeinungen, etwa des Datenschutzbeauftragten, eingeholt wurden.

Wer ist verantwortlich für die Durchführung der Datenschutz-Folgenabschätzung?

Die Verantwortung zur Durchführung einer DSFA liegt bei dem Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO, das heißt, bei der natürlichen oder juristischen Person, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. Der Verantwortliche muss beurteilen, ob eine DSFA erforderlich ist, und diese ggf. durchführen bzw. dokumentieren. Soweit vorhanden, ist der Datenschutzbeauftragte verpflichtend frühzeitig zu beteiligen, wobei dessen Beratung zwingend dokumentiert werden muss (Art. 35 Abs. 2 DSGVO). Auftragsverarbeiter können bei der Durchführung unterstützen, die finale Verantwortung bleibt jedoch beim Verantwortlichen.

Was geschieht, wenn eine Datenschutz-Folgenabschätzung zu einem hohen Risiko kommt, das nicht abgeschwächt werden kann?

Kommt eine DSFA zum Ergebnis, dass trotz der geplanten Abhilfemaßnahmen ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht, muss der Verantwortliche gemäß Art. 36 DSGVO vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultieren. Diese prüft, ob die geplanten Maßnahmen ausreichend sind, kann Empfehlungen abgeben oder die geplante Verarbeitung gegebenenfalls untersagen. Die Verarbeitung darf erst nach erfolgter Konsultation begonnen werden. Vernachlässigt der Verantwortliche diese Pflicht, drohen erhebliche Sanktionen und die Anordnung zur Einstellung der Verarbeitung.

Wie ist die Datenschutz-Folgenabschätzung zu dokumentieren und wie lange sind Unterlagen aufzubewahren?

Die Dokumentation der DSFA muss so erfolgen, dass sie die wesentlichen Schritte, Bewertungen, Analysen und getroffenen Maßnahmen nachvollziehbar und prüfbar macht. Dies umfasst die Darstellung der Datenflüsse, der geprüften Risiken und der zur Minderung ergriffenen Maßnahmen sowie die Einbeziehung des Datenschutzbeauftragten. Die Dokumentation ist nicht automatisch zu veröffentlichen, muss jedoch der Aufsichtsbehörde auf Anfrage vollständig und unverzüglich vorgelegt werden können. Die DSGVO schreibt keine feste Aufbewahrungsdauer ausdrücklich vor, jedoch empfiehlt sich eine Aufbewahrung mindestens solange, wie die betreffende Verarbeitung andauert, um bei Audits oder Anfragen nachweisen zu können, dass die DSFA ordnungsgemäß durchgeführt worden ist.

Welche Rolle spielt der Datenschutzbeauftragte im Prozess der Datenschutz-Folgenabschätzung?

Der Datenschutzbeauftragte ist zwingend und frühzeitig in die Durchführung der DSFA einzubeziehen (Art. 35 Abs. 2 DSGVO). Seine Aufgabe ist es, hinsichtlich der geplanten Verarbeitungsvorgänge zu beraten, die Durchführung der DSFA fachlich zu unterstützen und die Einhaltung der rechtlichen Vorgaben sicherzustellen. Der Verantwortliche hat die Beratung und Empfehlungen des Datenschutzbeauftragten zu berücksichtigen und zu dokumentieren. Der Datenschutzbeauftragte trägt jedoch keine eigene Haftung für die Durchführung oder unterlassene Durchführung der DSFA; dies bleibt Aufgabe des Verantwortlichen.

Gibt es Unterschiede bei der Datenschutz-Folgenabschätzung zwischen öffentlichen und nicht-öffentlichen Stellen?

In Deutschland und auch nach der DSGVO sind grundsätzlich sowohl öffentliche als auch nicht-öffentliche Stellen verpflichtet, DSFAs durchzuführen, wenn die gesetzlichen Voraussetzungen vorliegen. Allerdings haben die jeweiligen Datenschutzgesetze der Bundesländer und des Bundes im öffentlichen Bereich – beispielsweise für Behörden – teilweise spezifische Regelungen zur Durchführung, Beteiligung von Aufsichtsbehörden und Dokumentation. Öffentliche Stellen unterliegen meist engeren Berichtspflichten und einer intensiveren Überprüfung durch die zuständigen Aufsichtsbehörden. In der Praxis sollten öffentliche Stellen besonders auf die Einbeziehung der Personalvertretungen und die frühzeitige Beteiligung der behördlichen Datenschutzbeauftragten achten.