Blog: Die Schwellwertanalyse als Vorabeinschätzung der DSFA-Pflicht
Haben Sie schon von der Datenschutz-Folgenabschätzung (DSFA) gehört? Sie ist von der DSGVO aufgrund des risikoorientierten Ansatzes vorgeschrieben, wenn eine Datenverarbeitung mit einem hohen Risiko für die Rechte und Freiheiten von Betroffenen verbunden ist. Die genauen diesbezüglichen Regelungen werden im Art 35 DSGVO getroffen.
Ob eine DSFA zu erstellen ist, muss im Vorfeld abgewogen werden. Dazu sollte eine Vorabeinschätzung gemacht werden, die unter der allgemeinen Bezeichnung Schwellwert-Analyse bekannt ist.
Die Schwellwert-Analyse ermöglicht es dem Verantwortlichen zu erheben und zu dokumentieren, welches Risiko mit einer Verarbeitung gegeben sein kann. Sollte sich aus dieser Einschätzung ergeben, dass kein Risiko festgestellt wird, ist damit die Bewertung abgeschlossen und eine Verarbeitung kann rechtskonform erfolgen. Diese Erhebung kann damit erfolgen, dass bestimmte Kriterien, die in der DSGVO genannt werden, erhoben und beurteilt werden.
Die wesentlichen Kriterien, die ein hohes Risiko definieren, sind in der DSGVO festgelegt und betreffen eine systematische und umfassende Bewertung persönlicher Aspekte von Betroffenen, eine umfassende Verarbeitung von besonderen Kategorien personenbezogener Daten oder die systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche, wie es bei Videoüberwachungen oft gegeben ist.
Im Zuge der Erstellung einer Schwellwert-Analyse ist die Datenverarbeitung genau zu beschreiben. Diese Beschreibung ist mit der Erfassung im Verarbeitungsverzeichnis abzugleichen. Wichtig ist die korrekte Dokumentation einer tragfähigen Rechtsgrundlage für die Verarbeitung und die Beschreibung des Verarbeitungszwecks.
Von der Datenschutzbehörde wurden zwei Verordnungen erlassen, die bei der Schwellwert-Analyse zu beachten sind, einerseits die sogenannte White-List, die Verordnung über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV) und die Black-List, die festschreibt, welche Datenverarbeitungen DSFA-pflichtig sind, soweit keine Ausnahme anwendbar ist (DSFA-V).
Bei der Schwellwert-Analyse kann man sich für gängige Datenverarbeitungen auf einige Kontrollfragen stützen. Dazu kann eine von uns erstellte Checkliste herangezogen werden, die eine erste Einschätzung ermöglicht, wobei natürlich spezifische Besonderheiten der Branche, in der das Unternehmen tätig ist, ebenso zu beachten sind.
Eine Kontrollfrage aus der Checkliste ist beispielsweise dahingehend formuliert, dass eine Datenschutz-Folgenabschätzung notwendig ist, weil persönliche Aspekte von Betroffenen bewertet werden, weil sensible Daten verarbeitet werden oder weil eine Überwachung öffentlich zugänglicher Bereiche erfolgt. Sollte der Verantwortliche diese Frage mit Ja beantworten, ist davon auszugehen, dass eine DSFA-Pflicht gegeben ist.
Weitere Kontrollfragen betreffen Aspekte, die sich aus der Praxis ergeben, zum Beispiel bei Verarbeitungen auf Basis der White-List, bei branchenspezifischen Besonderheiten im Gesundheitswesen, im Transportwesen und bei Videoüberwachungen. Die Fragen umfassen auch die Kriterien, die vom Europäischen Datenschutzausschuss (EDSA) in der diesbezüglichen Leitlinie veröffentlicht wurden.
Mit der darauffolgenden Datenschutz-Folgenabschätzung kann das Risiko der Verarbeitung nach unterschiedlichen Gesichtspunkten, sogenannten Gewährleistungszielen, weiter analysiert und mit Maßnahmen zur Verringerung des Risikos abgestimmt werden, damit eine entsprechende Dokumentation in Form eines DSFA-Berichts erstellt wird. Der DSFA-Bericht ist ein Teil der notwendigen Dokumentation, die sicherstellt, dass die Datenverarbeitung innerhalb des geltenden rechtlichen Rahmens erfolgt.
Für Fragen im Zusammenhang mit der Checkliste stehen wir gerne zur Verfügung.
Mag. Rudolf Urban, MSc
Unternehmensberater
Geprüfter Datenschutzexperte
Zertifizierter Datenschutzbeauftragter