Jetzt Mitglied werden!
eRecht24.de

Datenschutz-Folgenabschätzung

Datenschutzfolgenabschätzung: Pflicht oder Kür? Was Unternehmer wissen müssen

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(3 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, so sind Sie Verantwortlicher im Sinne der DSGVO.
  • Besteht voraussichtlich ein hohes Risiko für die Rechte von Betroffenen, ist eine DSFA nicht nur Pflicht, sondern hilft Ihnen, Risiken frühzeitig zu erkennen und rechtzeitig Maßnahmen zu ergreifen.
  • Kommen Sie Ihrer Verpflichtung nicht nach, drohen hohe Geldbußen durch die Aufsichtsbehörden sowie ein Reputationsschaden für Ihr Unternehmen.
Ich möchte mich umfassend informieren Ich möchte mein Business absichern

Worum geht's?

Datenschutz ist für Unternehmer nicht nur eine gesetzliche Pflicht, sondern auch eine tagtägliche Herausforderung. Besonders bei der Verarbeitung sensibler oder umfangreicher Daten kann eine Datenschutzfolgenabschätzung (DSFA) erforderlich sein, um Risiken frühzeitig zu erkennen und zu minimieren. Doch wann genau ist eine DSFA nötig, wie wird sie durchgeführt und wer kann dabei unterstützen? In diesem Artikel finden Sie Antworten auf Ihre Fragen und praxisnahe Tipps zur Umsetzung.

 

1. Datenschutzfolgenabschätzung: Was genau ist das?

Die Datenschutzfolgenabschätzung (kurz: DSFA) wurde 2018 mit der Datenschutzgrundverordnung (DSGVO) eingeführt. Zentrales Element ist stets die Verarbeitung personenbezogener Daten. Daten sind dann personenbezogen, wenn sie Rückschlüsse auf eine Person zulassen und die Person durch diese Daten identifiziert werden kann.

Beispiele für personenbezogene Daten sind E-Mail-Adresse, Alter, Krankenversicherungsnummer und Geschlecht.

Eine Datenverarbeitung liegt u.a. vor, wenn Daten übermittelt, erfasst, gespeichert oder gelöscht werden. Je nach Art der Verarbeitung kann ein unterschiedlich hohes Risiko für die Daten von Betroffenen bestehen.

Ein Beispiel ist die Anmeldung zu einem Newsletter. Sie erhalten personenbezogene Daten von dem zukünftigen Empfänger in Form einer E-Mail-Adresse.

Nun kommt die Datenschutzfolgenabschätzung ins Spiel: Besteht voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen, soll der Verantwortliche vorab die Folgen durch den Datenverarbeitungsvorgang abschätzen.

Die Datenschutz-Grundverordnung (DS-GVO) legt folglich einen risikobasierten Ansatz zu Grunde.

SCHON GEWUSST?

Verantwortlicher ist derjenige, der über die Verarbeitung personenbezogener Daten entscheidet. Das kann eine natürliche Person, ein Unternehmen, eine Behörde oder eine Einrichtung sein.

2. Wer muss eine DSFA durchführen lassen und woher kommt die Pflicht?

Gesetzliche Grundlage für die Pflicht

Die Datenschutz-Folgenabschätzung ist in Artikel 35 DSGVO geregelt. In Artikel 35 Absatz 1 DS-GVO wird zunächst auf die Form der Verarbeitung abgestellt. Birgt eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko in sich, ist eine Datenschutz-Folgenabschätzung (DSFA) notwendig.

Zuständig für die Beschreibung und Bewertung der von den Verarbeitungsvorgängen ausgehenden Risiken ist der Verantwortliche. Wurde im Betrieb ein Datenschutzbeauftragter benannt, soll sein Rat eingeholt werden.

Wer ist betroffen?

Verantwortliche können Unternehmen und Webseitenbetreiber, Behörden und öffentliche Stellen sowie Organisationen und Vereine sein. Hier kommt es auf die Form der Verarbeitung an, ob aus dieser ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen resultiert.

BEISPIELE AUS DER PRAXIS

Eine Plattform, die große Mengen an Nutzerdaten analysiert und verarbeitet, ist zur Durchführung einer DSFA verpflichtet.

Gleiches gilt für den Kundensupport mittels künstlicher Intelligenz, bei dem personenbezogene Daten von Kunden verarbeitet werden.

Wann muss eine Datenschutzfolgenabschätzung durchgeführt werden?

Haben Sie schon einmal von einer Positivliste, auch Muss-Liste genannt, gehört? Nach Art. 35 Abs. 4 DSGVO erstellen die Datenschutzaufsichtsbehörden der Bundesländer Listen von Datenverarbeitungsvorgängen, für die Datenschutz-Folgenabschätzungen notwendig sind. Diese können je nach Bundesland variieren und aktualisiert werden. Rufen Sie daher das für Sie notwendige Dokument direkt bei Ihrer Aufsichtsbehörde ab.

AUFGEPASST

Neben den Landeslisten gilt die Liste der Datenschutzkonferenz als Mindeststandard bundesweit einheitlich. Die Landeslisten können zusätzliche Verarbeitungstätigkeiten enthalten und strenger sein.

Die Datenschutzkonferenz ist ein Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder und tagt zweimal jährlich. Da die Liste der DSK als Mindeststandard gilt, dürfen die Landeslisten keinesfalls weniger streng ausfallen.

PRAXIS-TIPP

Prüfen Sie daher die Liste der DSK und die Liste Ihres Bundeslandes. Wird eine Verarbeitung auf Ihrer Landesliste aufgeführt, aber nicht in der Liste der DSK, sind Sie trotzdem zur Durchführung der DSFA verpflichtet.

Aufgepasst: Die Positivliste wird auch als “Blacklist” bezeichnet. Neben den Positivlisten, zu deren Erstellung die Behörden verpflichtet sind, können nach Art. 35 Abs. 5 DSGVO sogenannte Negativ-Listen erstellt werden. Diese führen Verarbeitungsvorgänge auf, für die explizit keine Datenschutz-Folgenabschätzungen durchzuführen sind.

Wird Ihr Verarbeitungsvorgang auf keiner Liste aufgeführt, bedeutet dies nicht, dass keine DSFA durchzuführen ist. Denn: Die Listen sind nicht abschließend.

In Artikel 35 Absatz 3 Datenschutz-Grundverordnung werden Regelbeispiele aufgeführt, bei deren Vorliegen zwingend eine DSFA durchgeführt werden muss:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 Datenschutzgrundverordnung oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 Datenschutz Grundverordnung oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Ist Ihr Verarbeitungsvorgang von keinem der Regelbeispiele erfasst, ist zu prüfen, ob voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen nach Art. 35 Abs. 1 DS-GVO besteht. Um das Risiko zu bestimmen, kann der Verantwortliche die Leitlinien WP 248 der Artikel-29-Datenschutzgruppe heranziehen.

SCHON GEWUSST?

Die Artikel-29-Datenschutzgruppe war ein unabhängiges Beratungsgremium der Europäischen Kommission, welches durch den Europäischen Datenschutzausschuss (EDSA) ersetzt wurde.

Die Leitlinien enthalten Risikokriterien. Liegen zwei Kriterien vor, muss der Verantwortliche davon ausgehen, dass für die jeweilige Datenverarbeitung eine DSFA notwendig ist. Aber auch schon bei Vorliegen eines Kriteriums kann eine DSFA notwendig sein. Der Verantwortliche muss seine Entscheidung begründen und dokumentieren, warum er keine DSFA durchführt.

Aufgepasst: Hilfreich ist an dieser Stelle das Verzeichnis von Verarbeitungstätigkeiten. Als Verantwortlicher sind Sie nach Art. 30 Abs. 1 DSGVO zur Führung des Verzeichnisses verpflichtet. Das Verzeichnis ist jedoch mehr als eine Pflicht, denn es hilft Ihnen dabei, den Überblick zu behalten und für jede Datenverarbeitung eine Risikoeinschätzung vorzunehmen.

Mit unserem eRecht24 Datenschutz-Management-System helfen wir Ihnen, ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

3. Schritt-für-Schritt-Anleitung zur Datenschutzfolgenabschätzung

Zunächst einmal ist wichtig, dass die Datenschutzfolgenabschätzung vor Einsatz der jeweiligen Verarbeitungstätigkeit durchzuführen ist und nicht erst im Anschluss. Wollen Sie mehrere ähnliche Verarbeitungsvorgänge mit einem ähnlich hohen Risiko vornehmen, können Sie die Abschätzung auch gemeinsam vornehmen.

Checkliste
Ist eine DSFA notwendig?
  • Prüfen Sie, ob Ihr Verarbeitungsvorgang auf der Positivliste (Muss-Liste) Ihres Bundeslandes oder auf der Liste der DSK aufgeführt wird,
  • Wird die Verarbeitung auf keiner Liste aufgeführt, dann prüfen Sie die Regelbeispiele aus Art. 35 Abs. 3 DSGVO,
  • liegt kein Regelbeispiel vor, prüfen Sie, ob voraussichtlich ein hohes Risiko nach Art. 35 Abs. 1 DSGVO gegeben ist,
  • liegt voraussichtlich kein hohes Risiko vor, dokumentieren Sie Ihre Einschätzung,
  • kommen Sie zu dem Ergebnis, dass eine DSFA notwendig ist, lesen Sie weiter.

 

ACHTUNG

Die Abschätzung, ob von einer Datenverarbeitung voraussichtlich ein hohes Risiko ausgeht oder nicht, trifft keine Aussage, ob eine Verarbeitung grundsätzlich zulässig ist und auf welche Rechtsgrundlage sie gestützt werden kann. Nur weil Verarbeitungsvorgänge auf der Muss-Liste stehen, bedeutet dies nicht, dass sie verboten sind.

Ablauf einer DSFA

Ein Blick in die DSGVO verrät, welche Punkte innerhalb der DSFA abgearbeitet werden müssen. Gemäß Art. 35 Abs. 7 DSGVO sind folgende Schritte notwendig:

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 Abs. 1 und
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Denken Sie außerdem daran, den Datenschutzbeauftragten einzubeziehen und anzuhören. Seine Stellungnahme sollte dokumentiert werden. Denn nur so können Sie im Fall einer Überprüfung Ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO gerecht werden.

Bei der Durchführung der DSFA kann Sie zudem das von den Datenschutzaufsichtsbehörden entwickelte Standard-Datenschutzmodell unterstützen. Es basiert auf sieben Schutzzielen und hilft bei der Risikoanalyse.

Je nach Ergebnis Ihrer DSFA kann zudem eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO notwendig sein.

Um Ihren Rechenschaftspflichten nach der DSGVO nachzukommen, bietet sich ein Datenschutzmanagementsystem an. Mit diesem können Sie Ihr Unternehmen rechtssicher aufstellen und erkennen Schwachstellen auf einen Blick.

JETZT DATENSCHUTZ ABSICHERN

DatenschutzPro

Verwalten Sie Ihren Datenschutz mit unserer Datenschutz-Managementlösung DatenschutzPro:
  • Behalten Sie den Überblick über den Datenschutz in Ihrem Unternehmen
  • Erstellen Sie die wichtigsten Datenschutzdokumente an einem Ort
  • Intuitive und zeitsparende Bedienung
  • Datenschutzbeauftragter auf Wunsch zubuchbar
JETZT DATENSCHUTZ ABSICHERN

4. Unterstützung bei der DSFA: Wer kann Ihnen bei der Umsetzung helfen?

Auch wenn Sie als Verantwortlicher dafür sorgen müssen, dass eine Datenschutzfolgenabschätzung durchgeführt wird, können Sie sich interne oder externe Hilfe hinzuziehen. Es ist kein Problem, wenn die DSFA durch eine andere Person durchgeführt wird.

Wichtig ist jedoch, dass sie den Datenschutzbeauftragten hinzuziehen, insofern einer benannt wurde.

Sie möchten einen externen Datenschutzbeauftragten bestellen oder benötigen Unterstützung bei der Erstellung von Datenschutzkonzepten und Datenschutz-Folgenabschätzungen?

Unser Partner Legaltrust hilft Ihnen sich rechtlich abzusichern. 

LEGALTRUST KONTAKTIEREN

LEGALTRUST

Unser Partnerunternehmen Legaltrust identifiziert datenschutzrechtliche Schwachstellen, konzipiert Lösungen, begleitet Sie bei der praktischen Umsetzung und sorgt für nachhaltigen Datenschutz in Ihrem Unternehmen – kompetent, praxisnah und verständlich.
LEGALTRUST KONTAKTIEREN

5. Welche Folgen drohen, wenn Sie der Verpflichtung zur Durchführung einer DSFA nicht nachkommen?

Die Nichtdurchführung einer DSFA trotz Verpflichtung kann ernsthafte rechtliche und wirtschaftliche Konsequenzen mit sich bringen.

Sind Sie zur Durchführung eines DSFA verpflichtet, weil der Vorgang auf der Muss-Liste aufgeführt wird, eines der Regelbeispiele greift oder Sie anhand der Liste der Artikel-29-Datenschutzgruppe zu dem Schluss kommen, dass die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich birgt, sollten Sie dieser Vorgabe auch nachkommen.

Denn bei Verstößen gegen Art. 35 Abs. 1 DSGVO kann die zuständige Aufsichtsbehörde gemäß Art. 58 Abs. 2 DS-GVO Maßnahmen ergreifen. So kann gemäß Art. 83 Abs. 4 DS-GVO eine Geldbuße verhängt werden. Je nach Schwere des Verstoßes kann das Bußgeld bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes betragen.

Weiterhin kann die Aufsichtsbehörde die weitere Datenverarbeitung untersagen, verarbeitete Daten löschen lassen und verlangen, dass die DSFA nachgeholt wird. Zudem können Beschwerden von Betroffenen sowie Schadensersatzansprüche die Folge sein.

Hinzukommen Reputationsschäden und Vertrauensverlust, denn eine nicht durchgeführte DSFA wirkt unprofessionell.

6. FAQ

Wann ist eine Datenschutzfolgenabschätzung vorzunehmen?

Eine Datenschutzfolgenabschätzung (kurz DSFA) ist nach der DSGVO dann notwendig, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Regelungen dazu, wann eine DSFA durchzuführen ist und welche Schritte wichtig sind, finden sich in Art. 35 DSGVO.

Gibt es eine Liste mit Verarbeitungstätigkeiten, die immer eine DSFA brauchen?

Ja. Die Datenschutzaufsichtsbehörden der Länder erstellen sogenannte Positivlisten. Zudem gibt es eine Liste der DSK, die einen Mindeststandard vorgibt, der einheitlich für alle Bundesländer gilt. Die Landeslisten können strenger ausfallen.

Wer kann mich bei der Durchführung der DSFA unterstützen?

Auch wenn Sie als Verantwortlicher den Kopf hinhalten müssen, wenn Ihr Unternehmen die Vorgaben der DSGVO nicht einhält, müssen Sie nicht zwangsläufig alleine dastehen. Sind Sie sich unsicher, wie eine Datenschutzfolgenabschätzung ablaufen muss, können Sie externe Experten zu Rate ziehen. Auch ist es möglich, einen externen Datenschutzbeauftragten zu bestellen.

Wie oft muss eine Datenschutzfolgenabschätzung aktualisiert werden?

Eine DSFA sollte dann aktualisiert oder erneuert werden, wenn sich wesentliche Faktoren ändern, wie beispielsweise neue Software, neue KI-Komponenten, neuer Verarbeitungszweck oder geänderte Rechtsgrundlage. Spätestens alle drei Jahre sollte die Datenschutzfolgenabschätzung für alle Verarbeitungsvorgänge wiederholt werden.

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Katharina Steinröder
Katharina Steinröder, Ass. jur.
Legal Writerin

Katharina Steinröder ist Volljuristin und seit 2023 als Legal Writerin Teil des Redaktionsteams von eRecht24. Während Ihres Studiums hat sie sich vertieft mit strafrechtlichen Themen auseinandergesetzt. Bei eRecht24 schreibt sie vor allem Inhalte mit Bezug zum Internet- und Datenschutzrecht. Zusätzlich zu Ihrer Tätigkeit als Legal Writerin arbeitet sie als nebenamtliche Dozentin im öffentlichen Recht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details