Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Download
18. April 2024

Schwellwertanalyse: Musterformular

4,20 (5)
Muster
Unternehmen haben ihre Verarbeitungen personenbezogener Daten daraufhin zu prüfen, ob eine Datenschutz-Folgenabschätzung nötig ist. Wie lässt sich diese Prüfung durchführen und dokumentieren?

Eine Datenschutz-Folgenabschätzung (DSFA) ist bei Verarbeitungen mit voraussichtlich hohem Risiko für die betroffenen Personen nötig (Art. 35 Abs. 1 Datenschutz-Grundverordnung, DSGVO).

Ob ein Verantwortlicher eine Datenschutz-Folgenabschätzung durchführen muss, kann er per sogenannter Schwellwertanalyse ermitteln. Eine Schwellwertanalyse ist eine grobe Einschätzung, welches Risiko eine Verarbeitung mit sich bringt. Erst die DSFA selbst betrachtet die Risiken ganz genau und sucht Abhilfemaßnahmen, um das Risiko zu verringern.

Die Entscheidung, ob eine DSFA durchzuführen ist oder nicht, ist zu dokumentieren. Dabei unterstützt das hier vorgestellte Prüfformular „Schwellwertanalyse“.

Faktoren für die Durchführung einer DSFA

Art. 35 DSGVO nennt Faktoren für eine Verarbeitung, die eine Datenschutz-Folgenabschätzung notwendig machen.

Neben neuen Technologien sowie Art, Umfang, Umstände und Zwecke der Verarbeitung gehören ausdrücklich dazu Profiling (mit Rechtswirkung), eine umfangreiche Verarbeitung besonderer Datenkategorien / Straftaten und die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Datenschutzkonferenz (DSK) hat zudem eine „Positivliste“ veröffentlicht. Sie enthält Verarbeitungen, bei denen Verantwortliche eine DSFA durchführen müssen.

Das Prüfformular „Schwellwertanalyse“

Das Prüfformular „Schwellwertanalyse“ orientiert sich an den Faktoren, die Art. 35 DSGVO nennt. Sie berücksichtigt neben den Positivlisten der Aufsichtsbehörde auch mögliche Negativlisten der Aufsichten (Verarbeitungen, bei denen keine DSFA durchzuführen ist).

Das Ergebnis der Schwellwertanalyse ergibt sich aus den Antworten zu jeder Frage und wird im letzten Schritt des Formulars festgehalten. Die Schwellwertanalyse wird zur Datenschutzdokumentation hinzugefügt.

WEKA Manager Datenschutz

WEKA Manager Datenschutz: Eine Plattform, drei Module – Gemeinsame Funktionalität, für die Arbeit im Team optimiert

WEKA Manager Datenschutz – das ist eine moderne Datenschutz-Software mit umfassenden Muster-Strukturen und praxiserprobten Vorlage-Dokumenten in einer flexibel anpassbaren Dokumentations-Umgebung mit vielen Funktionen für Übersicht, Export, Nachweis und Report.

 

Hinweise zu den Begriffen im Formular

Neue Technologien: Es werden personenbezogene Daten mit einer gänzlich neuen Technologie verarbeitet, zu der z.B. noch keine Erfahrungen zu den Auswirkungen auf den Datenschutz und zu Gegenmaßnahmen vorhanden sind. Aktuelles Bespiel sind Anwendungen, die mit Künstlicher Intelligenz (KI) arbeiten.

Art der Verarbeitung: Bei der Art der Verarbeitung sind die personenbezogenen Datenarten (z.B. besondere personenbezogene Daten), die verwendeten Systeme und Dienste (z.B. Cloud, App, Hosting) und die Komplexität der Verarbeitungsprozesse zu betrachten.

Umfang der Verarbeitung: Der Umfang der Verarbeitung kann sich auf die Daten selbst (z.B. Anzahl von Datensätzen, Anzahl von Kriterien eines Datums, Anzahl von Betroffenen), auf die verwendeten Systeme (verteilt oder zentral, Anzahl der Systeme) oder auf die Prozesse (einfacher Prozess, komplexe Verzahnung mehrerer Prozesse) beziehen.

Umstände der Verarbeitung: Die Umstände betrachten die allgemeinen Rahmenbedingungen der Daten, Systeme und Prozesse. Werden beispielsweise die Daten in Drittländer übermittelt, oder sind externe Dienstleister involviert?

Zwecke der Verarbeitung: Wirken sich die Zwecke nachteilig für die Betroffenen aus, oder liegen sie eher in ihrem Interesse?

Systematische und umfassende Bewertung / Profiling mit Rechtswirkung: Systematisch ist eine Verarbeitung, wenn sie methodisch nach einem bestimmten, vorgegebenen System oder einer Strategie erfolgt. Neben den Kriterien „systematisch“ und „umfassend“ ist zu beachten, dass das Profiling zusätzlich eine Rechtswirkung gegenüber den Betroffenen oder ähnliche Beeinträchtigungen entfalten muss, um zwingend eine DSFA auszulösen.

Petra Nietzer

Gratis-Download

Sie möchten die Vorlage herunterladen? Geben Sie bitte Ihre E-Mail-Adresse an:

Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.