th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Datenschutz-Folgenabschätzung und vorherige Konsultation

Voraussetzungen und Analyseschritte für die Risiko-Folgenabschätzung

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018 gelten seit 25.5.2018. Alle Datenverarbeitungen müssen dieser Rechtslage entsprechen. (Siehe dazu „Überblick“)

Die DSGVO sieht keine Vorabkontrollen oder Meldungen mehr an das Datenverarbeitungsregister (DVR) vor und auch die DVR-Nummer gehört der Vergangenheit an. Als Ersatz für den Entfall der „vorsorglichen“ Überprüfung im Rahmen der Meldeverpflichtungen bei der Datenschutzbehörde werden Verantwortliche verpflichtet, in Eigenregie (bei Einsatz eines Auftragsverarbeiters hat dieser Unterstützung zu gewähren) eine Evaluierung von Datenverarbeitungen durchzuführen.

Damit sollen die Auswirkungen und Risiken der Datenverarbeitungen (nach einer allgemeinen Risikoabschätzung) für die Rechte (z.B. das Datengeheimnis, die Datenschutzgrundsätze sowie die Betroffenenrechte) und Freiheiten (Grundrechte wie etwa die Meinungsfreiheit) der Betroffenen analysiert und die Folgen der vorgesehenen Datenverarbeitungen für den Datenschutz abgeschätzt und geeignete Abhilfemaßnahmen ergriffen werden. Diese „Selbstevaluierung“ bezeichnet die DSGVO als Datenschutz-Folgenabschätzung.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Die DSGVO bestimmt, dass eine Datenschutz-Folgenabschätzung insbesondere dann zu erfolgen hat, wenn etwa neue Technologien verwendet werden oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Beispiele:
Kombination aus Fingerabdruck- und Gesichtserkennung für verbesserte Zugangskontrollen; Abgleichen oder Zusammenführen von Datensätzen in einer Weise, die für den Betroffenen vernünftigerweise nicht erwartet werden können, wie etwa das Erfassen öffentlich zugänglicher Daten aus sozialen Netzwerken zum Zweck der Profilerstellung.

Die DSGVO führt selbst konkret folgende weitere beispielhafte Fälle an, in denen ein hohes Risiko besteht:

  • systematische und umfassende Bewertung persönlicher Aspekte, die insbesondere die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interesse, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel natürlicher Personen betreffen, auf Basis automatisierter Verarbeitung: Hiermit sind vor allem Profiling-Maßnahmen angesprochen, die als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen können, z.B. bei der Frage, ob einer natürlicher Person ein Kredit gewährt wird oder nicht,

  • bei einer umfangreichen Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten,

  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche: z.B. mittels Videoüberwachung.

Unter „systematisch“ kann nach der „Artikel 29-Gruppe“ (ein europäisches Datenschutzgremium, das Leitlinien zur DSGVO veröffentlicht) verstanden werden:

  • eine Verarbeitung findet im Rahmen eines Systems statt
  • die Verarbeitung erfolgt organisiert und methodisch und ist vorab festgelegt. 

Für die Auslegung des Begriffs „umfassend“ können nach der „Artikel 29-Gruppe“ folgende Anhaltspunkte herangezogen werden:

  • die Zahl der Betroffenen (entweder als konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe)
  • die verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente
  • die Dauer oder Dauerhaftigkeit der Datenverarbeitung
  • das geografische Ausmaß der Datenverarbeitung 

Unter „Überwachung“ kann nach den Leitlinien der Art 29-Gruppe das Ziel verstanden werden, dass die betroffene Person beobachtet oder kontrolliert werden sollen. 

Die Art-29-Gruppe hat neun Kriterien entwickelt, die bei der Prüfung, ob eine (beabsichtigte) Datenverarbeitung wahrscheinlich ein hohes Risiko mit sich bringt, berücksichtigt werden müssen. Werden zwei dieser Kriterien erfüllt, wird in den meisten Fällen ein hohes Risiko angenommen und eine Datenschutz-Folgenabschätzung durchgeführt werden müssen. 

Die Datenschutzbehörde hat Listen zu erstellen, die weitere, konkrete Verarbeitungsvorgänge aufzählen, bei denen auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen (sog. „black list“) ist bzw. kann sie Listen für Fälle erstellen, in denen keine Datenschutz-Folgenabschätzung erforderlich ist (sog. „white list“). Zum gegenwärtigen Zeitpunkt hat die Datenschutzbehörde in Form einer Verordnung eine „white list“ erstellt. Eine Verordnung der Datenschutzbehörde für eine „black list“ besteht gegenwärtig nur im Entwurf und befindet sich noch im Begutachtungsverfahren.

Ob die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung vorliegen, obliegt der Beurteilung des Verantwortlichen selbst. Hat der Verantwortliche einen Datenschutzbeauftragten bestellt, muss er diesen bei der Durchführung der Datenschutz-Folgenabschätzung zu Rate ziehen.

Liegt ein Ansatzpunkt für eine verpflichtende Durchführung einer Datenschutz-Folgenabschätzung vor (vgl obige Aufzählungen), hat der Verantwortliche die Datenschutz-Folgenabschätzung vor der Aufnahme der Datenverarbeitung durchzuführen.

Keine Datenschutz-Folgenabschätzung ist grundsätzlich durchzuführen:

Achtung:
Die folgenden Punkte können einen Ansatz bieten. Trotzdem ist auch bei diesen Sachverhalten konkret und einzelfallbezogen zu prüfen, ob im konkreten Anlassfall nicht doch ein hohes Risiko besteht und deshalb eine Datenschutz-Folgenabschätzung durchzuführen ist.
  • Wenn die Verarbeitung wahrscheinlich kein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt.
  • Wenn sich die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung von denen einer anderen Verarbeitung, für die bereits eine Datenschutz-Folgenabschätzung durchgeführt wurde, nur in geringem Maße unterscheidet.
  • Wenn bestehende Verarbeitungsvorgänge vor dem 25. Mai 2018 bereits von der Datenschutzbehörde geprüft worden sind (etwa im Rahmen einer Vorabkontrolle nach dem Datenschutzgesetz 2000) und die Verarbeitungsvorgänge sich seit dieser Prüfung nicht geändert haben.
  • Falls ein Verarbeitungsvorgang auf der Rechtsgrundlage „gesetzliche Verpflichtung“ oder „Wahrnehmung einer Aufgabe im öffentlichen Interesse“ beruht und falls im Rahmen der Schaffung der Rechtsgrundlage schon eine Datenschutz-Folgenabschätzung erfolgte (im Gesetz oder in einer Verordnung selbst bzw in den Materialien).
  • Falls der Verarbeitungsvorgang auf der „white list“ der Datenschutzbehörde steht. Nach der Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (kurz: DSFA-AV oder einfach: „white list“-Verordnung) sind folgende Datenverarbeitungstätigkeiten von einer verpflichtenden Durchführung einer Datenschutz-Folgenabschätzung ausgenommen:
    • Kundenverwaltungen, Rechnungswesen, Logistik und Buchführung
    • Personalverwaltung
    • Mitgliederverwaltung (z.B. bei Vereinen)
    • Kundenbetreuung und Marketing für eigene Zwecke
    • Sach- und Inventarverwaltung
    • Register, Evidenzen, Bücher
    • Zugriffsverwaltung für EDV-Systeme
    • Zutrittskontrollsysteme
    • Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
    • Bild- und Akustikdatenverarbeitung in Echtzeit
    • Bild- und Akustikverarbeitungen zu Dokumentationszwecken
    • Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnungen einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken
    • Rechts- und Beratungsberufe
    • Archivierung, wissenschaftliche Forschung und Statistik
    • Unterstützungsbekundungen
    • Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
    • Öffentliche Abgabenverwaltung
    • Förderverwaltung
    • Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
    • Aktenverwaltung (Büroautomation) und Verfahrensführung
    • Organisation von Veranstaltungen
    • Preise und Ehrungen
    Achtung: Die „white list“-Verordnung enthält in ihrem Anhang eine genaue Beschreibung des jeweiligen Zwecks der Datenverarbeitung. Nur innerhalb dieses Zwecks entfällt bei der jeweiligen Verarbeitungstätigkeit die Datenschutz-Folgenabschätzung.

    Weitere nach der „white-list“-Verordnung von einer verpflichtenden Datenschutz-Folgenabschätzung ausgenommene Datenverarbeitungsvorgänge sind:

    • Datenanwendungen, die nach dem DSG 2000 einer Vorabkontrolle unterlagen und vor dem 24.5.2018 im Datenverarbeitungsregister registriert wurden (zB Informationsverbundsysteme, Datenverarbeitungen zum Zweck der Auskunftserteilung über die Kreditwürdigkeit von Betroffenen, die Datenverarbeitung sensibler oder strafrechtlich relevanter Daten sowie die Videoüberwachung ohne Verschlüsselung bzw. mit Verschlüsselung, aber ohne Hinterlegung des einzigen Schlüssels bei der Datenschutzbehörde)
    • nicht meldepflichtige Datenanwendungen gem. § 17 Abs 2 Z 6 DSG 2000 (das sind die Standardanwendungen nach der mit Ablauf des 24.5.2018 außer Kraft getretenen Standard-und Muster-Verordnung 2004).

  • Achtung: die beiden zuletzt genannten Ausnahmen bestehen nur, sofern diese Datenanwendungen mit Ablauf des 24.5.2018 den Vorgaben der DSGVO entsprechen und ab Inkrafttreten der „white-list“-Verordnung (25.5.2018) keine wesentlichen Änderungen vorgenommen wurden.

Was muss die Datenschutz-Folgenabschätzung umfassen? 

Die Datenschutz-Folgenabschätzung muss zumindest Folgendes enthalten: 

Tipp:
Die Art 29-Gruppe hat Kriterien entwickelt, anhand derer ermittelt werden kann, ob eine Datenschutz-Folgenabschätzung oder eine Methodik zur Durchführung der Datenschutz-Folgenabschätzung umfassend genug ist, um den Vorgaben der DSGVO zu entsprechen. Auch wenn diese Kriterien von dem europäischen Datenschutzgremium lediglich empfohlen wird, ist es ratsam sich an diesen Kriterien zu orientieren.
  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge;
    Überprüfungskriterien für die Beschreibung:
    • die Art, der Umfang, die Umstände der Datenverarbeitung wurden in der Dokumentation festgehalten
    • die personenbezogenen Daten, die Empfänger und die Speicherfrist sind berücksichtigt
    • eine funktionale Beschreibung der Verarbeitungsvorgänge ist enthalten
    • die Wirtschaftsgüter, auf die sich die personenbezogenen Daten stützen (Hardware, Software, Netzwerke, Personen, Papiere oder Übertragungsmedien für Papier, wie etwa USB-Sticks) werden beschrieben
    • wenn genehmigte Verhaltensregeln bestehen, muss das Einhaltungsprozedere in der Dokumentation berücksichtigt werden, 
  • die Beschreibung der Verarbeitungszwecke (beruft sich der Verantwortliche allenfalls auf die Rechtmäßigkeitsgrundlage des „berechtigten Interesses“, muss er auch bei der Folgenabschätzung dieses berechtigte Interesse beschreiben),
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den verfolgten Zweck: So muss etwa bewertet werden, ob die Datenverarbeitung für die Zweckerreichung unumgänglich ist oder ob es nicht gelindere Maßnahmen zur Zweckerreichung gibt,
    Überprüfungskriterien für die Bewertung:
    • die Datenverarbeitung erfolgt nur für festgelegte, eindeutige und legitime Zwecke
    • es liegt eine Rechtmäßigkeitsgrundlage für die Verarbeitung vor
    • die Datenverarbeitung ist für den Zweck erheblich und angemessen sowie auf das notwendige Maß beschränkt
    • es wurden Maßnahmen für die Erfüllung der Betroffenenrechte ergriffen (Informationspflichten, Auskunftsrecht, Recht auf Datenübertragbarkeit, Berichtigungs- und Löschungsrecht, Widerspruchsrecht und Recht auf Verarbeitungseinschränkung), das Verhältnis zu Auftragsverarbeitern ist durch einen Vertrag mit dem erforderlichen Inhalt geregelt und es wurden auch nur „zuverlässige“ Auftragsverarbeiter beauftragt, in Bezug auf den internationalen Datenverkehr werden „Garantien“ eingehalten)
    • Bewertung, ob eine vorherige Konsultation der Datenschutzbehörde erforderlich ist, weil trotz ergriffener/beabsichtigter Maßnahmen weiterhin ein hohes Risiko besteht/bestehen wird
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen: Betroffenenrechte wie beispielsweise das Geheimhaltungs-, das Auskunfts-, Löschungs- oder Widerspruchsrecht; weiters die allgemeinen Grundprinzipien wie etwa der Zweck­mäßigkeitsgrundsatz, die Transparenz oder die Datenminimierung, oder die Datensicherheit (Verfügbarkeit, Integrität, Vertraulichkeit),
    Überprüfungskriterien für die Bewertung:
    • Ursache, Art, Besonderheit und Schwere der Risiken wurden aus Sicht des Betroffenen für jedes in Erwägung zu ziehende Risiko bewertet (unrechtmäßiger Datenzugriff, unerwünschte Änderung und Verschwinden von Daten, Wiederherstellungsmöglichkeit bei Zerstörung der Daten)
    • Risikoquellen wurden berücksichtigt
    • potentielle Auswirkungen auf die Rechte und Freiheiten von Betroffenen wurden ermittelt, die bei Ereignissen wie etwa einem unrechtmäßigen Datenzugriff, einer unerwünschten Änderung oder dem Verschwinden von Daten bestehen könnten
    • die Bedrohungen wurden ermittelt, die einen unrechtmäßigen Datenzugriff, eine unerwünschte Änderung oder das Verschwinden von Daten nach sich ziehen könnten
    • die Eintrittswahrscheinlichkeit und die Schwere der Risiken wurden bewertet
    • Maßnahmen zur Bewältigung der eruierten Risiken wurden ermittelt
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Datenschutz sichergestellt wird: z.B. Pseudonymisierungs- oder Anonymisierungsmaßnahmen, organisatorische oder personelle Maßnahmen wie etwa Zutritts- oder Zugangsbe­schränkungen oder Verschlüsselungen. Bestehen von Unternehmensverbänden Verhaltensregeln, die von der Datenschutzbehörde genehmigt wurden, und hält sich der Verantwortliche auch an diese, können die Verhaltensregeln bei der Risikobewertung bzw. bei der Bewertung der geplanten Abhilfemaßnahmen gebührend berücksichtigt werden; gleiches gilt für Zertifizierungen oder verbindliche interne Datenschutz­vorschriften („binding corporate rules“) bei Unternehmensgruppen (Konzernen),
  • die vom Datenschutzbeauftragten erteilten Empfehlungen und die dazu getroffenen Entscheidungen,
  • den Standpunkt der Betroffenen bzw. deren Vertreter: wird der Standpunkt der Betroffenen bzw. ihrer Vertreter nicht eingeholt, muss nach Ansicht der Art 29-Gruppe dies begründet werden (etwa wegen Unverhältnismäßigkeit, Impraktikabilität, Geheimhaltungspflichten bzgl. Geschäftsplänen des Unternehmens, die verletzt werden könnten,
  • ebenso muss begründet werden, wenn die endgültige Entscheidung des Verantwortlichen vom Standpunkt der Betroffenen oder ihrer Vertreter abweicht.

Vorherige Konsultation der Datenschutzbehörde 

Sollte auf Basis der Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person festgestellt werden und kann der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos treffen, hat er vor der Verarbeitung die Datenschutzbehörde zu konsultieren. Diese kann dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraumes von bis zu 8 Wochen nach Erhalt des Konsultationsersuchens schriftliche Empfehlungen erteilen. Sollte der beabsichtigte Datenverarbeitungsvorgang eine entsprechende Komplexität aufweisen, kann diese Frist um 6 Wochen verlängert werden. Der Verantwortliche oder gegebenenfalls der Auftragsverarbeiter sind über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Konsultationsersuchens von der Datenschutzbehörde zu informieren. 

Dem Konsultationsersuchen sind nachfolgende Informationen beizulegen

  • Angaben zu den Zuständigkeiten des Verantwortlichen (z.B. rechtliche Befugnisse aufgrund einer Berufsberechtigung wie etwa einer Gewerbeberechtigung), der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen,
  • die Zwecke und die Mittel der beabsichtigten Verarbeitung,
  • die zum Schutz der Rechte und der Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien,
  • sollte ein betrieblicher Datenschutzbeauftragter bestellt worden sein, sind dessen Kontaktdaten anzugeben,
  • die Ausführungen zur Datenschutz-Folgenabschätzung und
  • allenfalls von der Aufsichtsbehörde selbst angeforderte Informationen.

Geldstrafen 

Die Missachtung der Verpflichtung zur Datenschutz-Folgenabschätzung und zur vorherigen Konsultation ist mit bis zu EUR 10 Mio. oder 2% des letztjährigen weltweiten Jahresumsatzes sanktioniert.

Leitlinien der Artikel 29-Gruppe 

Die Art 29-Gruppe (ab 25.5.2018 „Europäischer Datenschutzausschuss“) ist ein europäisches Datenschutzgremium, dem die Leiter der nationalen Datenschutzbehörden bzw. deren Vertreter angehören. Diese Gruppe verfasst und beschließt Leitlinien für die Umsetzung der DSGVO, um eine möglichst einheitliche Anwendung der DSGVO in der EU zu gewährleisten. Auch wenn diese Leitlinien „lediglich“ empfehlenden Charakter aufweisen, haben sie in der Praxis eine große Bedeutung, weshalb sich deren Berücksichtigung empfiehlt.

Die Leitlinie zur Datenschutz-Folgenabschätzung WP 248 Rev. 014 ist auf der Webiste der EU-Kommission abrufbar.


Anlage:

Prüfschritte bei der Datenschutz-Folgenabschätzung 

1. Prüfung, ob überhaupt die Voraussetzungen für die Durchführung einer verpflichtenden Datenschutz-Folgenabschätzung vorliegen:

Wird eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für Entscheidun­gen herangezogen werden soll, die für natürliche Personen Rechtswirkungen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen könnte (z.B. zur Frage der Kreditvergabe)?

Werden in umfangreicher Art und Weise sensible Daten oder Daten über strafrechtliche Verurteilungen und Straftaten selbst verarbeitet?

Erfolgt bei der Datenverarbeitung eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachungen)?

Gibt es Listen der Datenschutzbehörde, die Fälle aufzählen, in denen eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist bzw. nicht (verpflichtend) durchzuführen ist?

Hinweis: Derzeit hat die Datenschutzbehörde in Form einer Verordnung eine Liste von Verarbeitungstätigkeiten veröffentlicht, die keiner verpflichtend durchzuführenden Datenschutz-Folgenabschätzung zugeführt werden müssen („white list“-Verordnung).

Eine Verordnung betreffend Verarbeitungsvorgängen, die einer verpflichtenden Datenschutz-Folgenabschätzung zu unterziehen sind, befindet sich gegenwärtig im Begutachtungsverfahren.

Wird bei der beabsichtigten Datenverarbeitung neue Technologie verwendet oder be­steht aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen?

Prüfkriterien der Art 29-Gruppe zur Beurteilung, ob eine Datenverarbeitung wahrscheinlich ein hohes Risiko mit sich bringt (ist speziell beim letzten Aufzählungspunkt von besonderer Bedeutung): 

Hinweis:
Werden zwei der Kriterien erfüllt, ist davon auszugehen, dass ein hohes Risiko mit der Datenverarbeitung einhergeht und eine Datenschutz-Folgenabschätzung durchzuführen ist.
  • Bewirkt der Verarbeitungsvorgang ein (potentielles) Bewerten oder Einstufen betroffener Personen (etwa das Erstellen von Profilen und Prognosen), insbesondere auf Grundlage von Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen? Beispiel: Nutzer-Verhaltensprofile oder Marketingprofile durch Website-Analyse-Tools.
  • Beinhaltet der Verarbeitungsvorgang eine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung?
  • Beinhaltet der Verarbeitungsvorgang möglicherweise eine systematische Überwachung, d.h. Vorgänge, die die Beobachtung, Überwachung oder Kontrolle betroffener Personen zum Ziel haben?
  • Werden vertrauliche Daten oder höchst persönliche Daten verarbeitet? Beispiele: „Sensible Daten“, personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten; aber auch personenbezogene Daten, die mit häuslichen oder privaten Aktivitäten verknüpft sind (z.B. private elektronische Kommunikation), sich auf die Ausübung der Grundrechte auswirken (z.B. das Erfassen der Standortdaten, wodurch eine Verfolgung des Bewegungsverhaltens ermöglicht wird und den Schutz der Privatsphäre berühren kann) oder deren Nutzung möglicherweise ernsthafte Konsequenzen im Alltag der betroffenen Personen haben kann (z.B. Bankdaten, die für den Zahlungsbetrug missbraucht werden könnten)
  • Erfolgt eine Datenverarbeitung in großem Umfang?
    • Zahl der betroffenen Personen (entweder konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe)
    • verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente
    • Dauer oder Dauerhaftigkeit der Datenverarbeitung
    • geografisches Ausmaß der Datenverarbeitung
  • Beinhaltet die Datenverarbeitung ein (potentielles) Abgleichen oder Zusammenführen von Datensätzen? Beispiel: Zusammenführen von Datensätzen aus unterschiedlichen Anwendungszwecken und dieser Vorgang von den betroffenen Personen vernünftigerweise auch nicht erwartet werden konnte.
  • Werden möglicherweise Daten schutzbedürftiger betroffener Personen verarbeitet? Beispiele: Kinder, Personen mit besonderem Schutzbedarf (Patienten, psychisch Kranke, Senioren, Asylbewerber), Arbeitnehmer.
  • Beinhaltet der Verarbeitungsvorgang eine innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen? Beispiel: Kombination aus Fingerabdruck- und Gesichtserkennung zum Zweck einer verbesserten Zugangskontrolle.
  • Kann die Datenverarbeitung die betroffenen Personen (potentiell) an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern? Beispiel: Durchsuchen von Bonitätsdatenbanken zum Zweck der Entscheidung, ob ein Kredit vergeben wird.

2. Erhebung der zu verarbeitenden personenbezogenen Datenarten (z.B. Namen, Adressen, Kontaktdaten, sensible Daten) und Feststellen der Rechtsgrundlage für die Datenverarbeitung:

Welche Datenarten werden verarbeitet?

Liegt eine Einwilligungserklärung des Betroffenen vor?

Ist die Datenverarbeitung für eine Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen erforderlich?

Ist die Datenverarbeitung für die Erfüllung einer rechtlichen Verpflichtung, z.B. aus dem Arbeitsrecht, erforderlich?

Ist die Datenverarbeitung erforderlich, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen?

Ist die Datenverarbeitung für eine Aufgabenerfüllung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?

Besteht auf Seiten des Verantwortlichen oder eines Dritten ein berechtigtes Interesse an der Datenverarbeitung, und überwiegen nicht die Interessen oder Grundfreiheiten der betroffenen Person?

3. Werden die folgenden datenschutzrechtlichen Prinzipien eingehalten? 

  • Transparenz: Werden die Informationspflichten erfüllt?
  • Zweckbindungsgrundsatz: Erfolgt die Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke?
  • Minimierungs- und Verhältnismäßigkeitsprinzip: Ist die Datenverarbeitung im Verhältnis zur Zweckerreichung angemessen? Beschränkt sich die Datenverarbeitung auf das notwendige Maß und ist sie für die Zweckerreichung erheblich (z.B. in Bezug auf die Datenarten, personellen Zugriff oder die Speicherungsdauer)?
  • Wie wird sichergestellt, dass die Daten sachlich richtig und auf dem möglichst neuesten Stand sind?
  • Verfügbarkeit, Integrität und Vertraulichkeitsgrundsatz: Welche Maßnahmen zur Datensicherheit wurden getroffen (etwa welchen Beschränkungen unterliegt die Offenbarung der Daten an Personen innerhalb und außerhalb der beteiligten Stellen)?

4. Beschreibung der geplanten Verarbeitungsvorgänge und Verarbeitungszwecke einschließlich der verfolgten berechtigten Interessen (bei der Datenverarbeitung auf Basis der Rechtsgrundlage „Interessenabwägung“) sowie der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge 

5. Welche möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen für folgende Schutzziele? 

  • Datenverfügbarkeit: Bestehen bei der beabsichtigten Datenverarbeitung Risiken in Bezug auf die Erfüllung der Betroffenenrechte (z.B. Auskunftsrecht, Widerrufsrecht, Widerspruchsrecht, Berichtigungsrecht, Löschungsrecht, Datenübertragbarkeits-recht, Data breach notification oder bei der Einbindung von Auftragsverarbeitern die vertraglichen Verpflichtungen und die „Zuverlässigkeit“)?

  • Integrität und Vertraulichkeit: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf den Schutz der Privatsphäre des Betroffenen und das Datengeheimnis etwa in Form etwa unbefugter oder unrechtmäßiger Verarbeitung, (unbeabsichtigten) Verlust, (unbeabsichtigter) Zerstörung oder (unbeabsichtigter) Schädigung?

  • Zweckbindung: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf die Einhaltung des Zweckbindungsgrundsatzes?
    Besteht die Gefahr, dass im Zuge der Datenverarbeitung von der Einhaltung des einmal festgelegten eindeutigen Datenverarbeitungszweckes abgegangen wird?

  • Sonstige Datenschutzprinzipien: Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den sonstigen datenschutzrechtlichen Grundsätzen (z.B. Datenminimierung, Richtigkeit, Speicherbegrenzung, Rechtmäßigkeit, Transparenz) nicht nachgekommen werden kann? Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den vorgeschriebenen Informationspflichten nicht nachgekommen werden kann?

6. Auf Basis der Identifizierung möglicher Risiken wird sodann eine Risikoanalyse durchgeführt: Zunächst werden die möglichen Bedrohungen für die Schutzziele festgehalten (Welches Risiko kann von wem ausgehen? Was könnten die Besonderheit und die Schwere der Risiken sein? Was könnten die Motive und Ursachen für die Bedrohung sein? Was könnte das mögliche Bedrohungsziel sein?). In weiterer Folge wird unter Berücksichtigung der Art, des Umfangs, der Umstände, der Zwecke der Verarbeitung und der Ursachen des Risikos die Eintrittswahrscheinlichkeit und die Schwere des Risikos zu beurteilen sein und die daraus folgenden möglichen Folgen einer Risikoverwirklichung für die Betroffenenrechte. 

Diese möglichen Risikofolgen könnten beispielsweise sein:

  • physischer, materieller und immaterieller Schaden beim Betroffenen
  • Verlust der Kontrolle über die Daten
  • Einschränkung bei der Erfüllung der Betroffenenrechte
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • unbefugte Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verlust der Vertraulichkeit (der Privatsphäre)
  • erhebliche wirtschaftliche oder gesellschaftliche Nachteile

7. Festhalten der bisher getroffenen Abhilfemaßnahmen (status-quo-Erhebung): z.B. Anonymisierung- oder Pseudonymisierungsmaßnahmen, Einsatz von Verschlüsselungstechnologien etc. 

8. Soll-Ist-Vergleich anstellen und Aufstellung eines Maßnahmenplanes zur Gewährleistung der Schutzziele (Datenverfügbarkeit, Integrität und Vertraulichkeit, Zweckbindung und die sonstigen Datenschutzprinzipien): Auf Basis der bisherigen Prüfschritte können allfällige „Lücken“ bei der Risikominimierung oder –behebung festgestellt werden und sollte daraus ein entsprechender Maßnahmenplan abgeleitet werden. Dieser Maß­nahmenplan könnte beispielsweise nachfolgende Bereiche umfassen:

  • personelle Maßnahmen: z.B. PC-Benutzungsregelungen, Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten, Einschränkung von Schreib- und Änderungsrechten, dokumentierte Zuweisung von Berechtigungen und Rollen nach dem Erforderlichkeitsprinzip, Verpflichtungserklärungen der Mitarbeiter in Bezug auf die Einhaltung des Datengeheimnisses, Verfahren bei personellen Änderungen, Regelung bei Einsatz von Fremdpersonal, zur Wahrung des Datengeheimnisses, Schulungen, Abwehr von „social engineering-Angriffen“ etc.

  • technisch-organisatorische Maßnahmen: z.B. Änderung des internen Prozessablaufes zur Wahrung der Betroffenenrechte und datenschutzrechtliche Grundsätze (z.B. zur Vermeidung von „Zweck-Verkettungen“ oder „Koppelungen“ bei Einwilligungserklärungen), etwa durch betriebsinterne Richtlinien, Vertretungsrege­lungen für abwesende Mitarbeiter, Implementierung automatischer Sperr- und Löschmaßnahmen, Pseudonymisierungen und Anonymisierungen, geregelte Zweckänderungsverfahren, Protokollierung von Zugriffen und Änderungen, Nachweis der Quellen von Daten, Dokumentation von Verträgen (mit Auftragsverarbeitern, Übermittlungsempfängern, Mitarbeitern) etc.

  • Computersicherheit und Virenschutz: z.B. Regelungen betreffend die Auswahl von Passwörtern, Umgang mit Wechselmedien, Einsatz von mobilen IT-Geräten

  • Netzwerksicherheit: z.B. Firewalls, Sicherheit von Web-Browsern

  • Datensicherung und Notfallvorsorge: z.B. die Erstellung eines Datensicherungskonzeptes, Regelung betreffend back-up-Datenträger, Reparatur- und Ausweichprozesse für Notfälle etc.

  • bauliche und infrastrukturelle Maßnahmen: z.B. Zutrittskontrollen, Zugangsbeschränkungen etc.

Weitere Maßnahmemöglichkeiten, vor allem zum Schutz der Grundprinzipien, können auch dem Standard-Datenschutzmodell entnommen werden, das von der Art 29-Gruppe ausdrücklich empfohlen wird: Website datenschutzzentrum.de

Bei der Entscheidung, welche konkreten Maßnahmen umgesetzt werden sollen/müssen, ist unter Berücksichtigung

  • des Standes der Technik,
  • der Implementierungskosten und
  • der Art des Umfangs, der Umstände und der Datenverarbeitungszwecke sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Betroffenenrechte

darauf zu achten, dass ein jeweils angemessenes Schutzniveau gewährleistet wird. Es empfiehlt sich daher eine entsprechende Risikoauflistung (z.B. Risikomatrix) zu erstellen und danach Prioritäten bei der Maßnahmenumsetzung zu setzen.

Bleibt in einem Bereich ein hohes Risiko für die Betroffenenrechte bestehen, für das keine Minimierungsmaßnahmen gesetzt werden (können), ist die Datenschutzbehörde zu 

9. Konsultation eines allenfalls bestellten betrieblichen Datenschutzbeauftragten

10. Muss der Standpunkt der Betroffenen oder ihrer Vertreter eingeholt werden?

Gibt es Gründe, warum keine Einholung des Standpunkts der Betroffenen oder ihrer Vertreter erforderlich ist (etwa Unverhältnismäßigkeit, impraktikabel, Gefahr der Verletzung einer Geheimhaltungspflicht etwa bzgl. der Geschäftspläne des Unternehmens)?

Wenn es Gründe für einen Verzicht gibt, ist eine Begründung zu dokumentieren.

Bei Abweichen der endgültigen Entscheidung des Verantwortlichen vom Standpunkt der Betroffenen oder ihrer Vertreter muss eine Begründung dokumentiert werden. 

Relevante Artikel der DSGVO: Art 5, Art 35-36
Relevante Erwägungsgründe: 84, 89-96
Relevante Bestimmungen des DSG (i.d.F. des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018): § 4
Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV)


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.