- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Schwellwertanalyse: Musterformular

Unternehmen haben ihre Verarbeitungen personenbezogener Daten daraufhin zu prüfen, ob eine Datenschutz-Folgenabschätzung nötig ist. Wie lässt sich diese Prüfung durchführen und dokumentieren?

Eine Datenschutz-Folgenabschätzung (DSFA) ist bei Verarbeitungen mit voraussichtlich hohem Risiko für die betroffenen Personen nötig (Art. 35 Abs. 1 Datenschutz-Grundverordnung, DSGVO).

Ob ein Verantwortlicher eine Datenschutz-Folgenabschätzung [1] durchführen muss, kann er per sogenannter Schwellwertanalyse ermitteln. Eine Schwellwertanalyse ist eine grobe Einschätzung, welches Risiko eine Verarbeitung mit sich bringt.

Erst die DSFA selbst betrachtet die Risiken ganz genau und sucht Abhilfemaßnahmen, um das Risiko zu verringern.

Die Entscheidung, ob eine DSFA durchzuführen ist oder nicht, ist zu dokumentieren. Dabei unterstützt das hier vorgestellte Prüfformular „Schwellwertanalyse“ [2]. Es ist Teil der Software-Lösung „EU-konformes Verfahrensverzeichnis“.

Formular Schwellwertanalyse [3]

Faktoren für die Durchführung einer DSFA

Art. 35 DSGVO nennt Faktoren für eine Verarbeitung, die eine Datenschutz-Folgenabschätzung notwendig machen.

Neben neuen Technologien sowie Art, Umfang, Umstände und Zwecke der Verarbeitung gehören ausdrücklich dazu Profiling (mit Rechtswirkung), eine umfangreiche Verarbeitung besonderer Datenkategorien / Straftaten und die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Datenschutzkonferenz (DSK) hat zudem eine „Positivliste“ veröffentlicht [4]. Sie enthält Verarbeitungen, bei denen Verantwortliche eine DSFA durchführen müssen.

Das Prüfformular „Schwellwertanalyse“

Das Prüfformular „Schwellwertanalyse“ orientiert sich an den Faktoren, die Art. 35 DSGVO nennt. Sie berücksichtigt neben den Positivlisten der Aufsichtsbehörde auch mögliche Negativlisten der Aufsichten (Verarbeitungen, bei denen keine DSFA durchzuführen ist).

Das Ergebnis der Schwellwertanalyse ergibt sich aus den Antworten zu jeder Frage und wird im letzten Schritt des Formulars festgehalten. Die Schwellwertanalyse wird zur Datenschutzdokumentation [5] hinzugefügt.

Hinweise zu den Begriffen im Formular

Neue Technologien: Es werden personenbezogene Daten mit einer gänzlich neuen Technologie verarbeitet, zu der z.B. noch keine Erfahrungen zu den Auswirkungen auf den Datenschutz und zu Gegenmaßnahmen vorhanden sind.

Art der Verarbeitung: Bei der Art der Verarbeitung sind die personenbezogenen Datenarten (z.B. besondere personenbezogene Daten), die verwendeten Systeme und Dienste (z.B. Cloud, App, Hosting) und die Komplexität der Verarbeitungsprozesse zu betrachten.

Umfang der Verarbeitung: Der Umfang der Verarbeitung kann sich auf die Daten selbst (z.B. Anzahl von Datensätzen, Anzahl von Kriterien eines Datums, Anzahl von Betroffenen), auf die verwendeten Systeme (verteilt oder zentral, Anzahl der Systeme) oder auf die Prozesse (einfacher Prozess, komplexe Verzahnung mehrerer Prozesse) beziehen.

Umstände der Verarbeitung: Die Umstände betrachten die allgemeinen Rahmenbedingungen der Daten, Systeme und Prozesse. Werden beispielsweise die Daten in Drittländer übermittelt, oder sind externe Dienstleister involviert?

Zwecke der Verarbeitung: Wirken sich die Zwecke nachteilig für die Betroffenen aus, oder liegen sie eher in ihrem Interesse?

Systematische und umfassende Bewertung/Profiling mit Rechtswirkung: Systematisch ist eine Verarbeitung, wenn sie methodisch nach einem bestimmten, vorgegebenen System oder einer Strategie erfolgt. Neben den Kriterien „systematisch“ und „umfassend“ ist zu beachten, dass das Profiling zusätzlich eine Rechtswirkung gegenüber den Betroffenen oder ähnliche Beeinträchtigungen entfalten muss, um zwingend eine DSFA auszulösen.

Petra Nietzer
Petra Nietzer ist IT-Security-Auditorin, zertifizierte Datenschutz-Auditorin und geprüfte Datenschutzbeauftragte.