Die Datenschutzfolgenabschätzung in der Datenschutzgrundverordnung

Was zuvor durch § 4 d Abs. 5 BDSG geregelt und unter dem Begriff der Vorabkontrolle bekannt war, wird ab Mai 2018 in Art. 35 DSGVO wiederzufinden sein. Das neue Instrument der Datenschutz-Folgenabschätzung ist dem der Vorabkontrolle sehr ähnlich, wird aber einen deutlich weiteren Anwendungsbereich haben. Bisher war eine Vorabkontrolle regelmäßig dann durchzuführen, wenn die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Ein solches besonderes Risiko war laut Gesetzestext bei der Verarbeitung besonderer Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG anzunehmen oder wenn die Verarbeitung dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten, etwa bei Assessment Centern, der Erstellung von Kundenprofilen oder Personalinformationssystemen. Die Pflicht zur Vorabkontrolle entfällt jedoch dann, wenn eine gesetzliche Pflicht zur Verarbeitung besteht, der Verantwortliche eine Einwilligung des Betroffenen eingeholt hat oder die Datenverarbeitung zur Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Art. 35 Abs. 1 DSGVO formuliert die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung noch weiter: Liegt in der „Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“, muss der Verantwortliche vorab die Folgen der beabsichtigten Verarbeitungsvorgänge abschätzen oder abschätzen lassen.

Die folgenden Absätze konkretisieren die Voraussetzungen einer Durchführungspflicht: Während in Absatz 3 drei Fälle explizit genannt werden, in denen eine Folgenabschätzung notwendig wird, weist Absatz 4 und 5 die Aufsichtsbehörden dazu an, eine Liste zu erstellen, in denen die Verarbeitungsvorgänge ersichtlich werden, bei denen eine Folgenabschätzung erforderlich ist oder eben auch nicht erforderlich ist (sog. Positiv- und Negativ-Listen). Die Art. 29 Datenschutzgruppe, als gemeinsames Gremium der Datenschutzbeauftragten der Mitgliedstaaten, hat ihre Pflicht aus der DSGVO erfüllt und eine solche Liste und Leitlinien herausgegeben.

Noch Fragen?
Wir bieten Hilfe zu allen Fragen rund um das Thema Datenschutzfolgeabschätzung
0228 - 74 89 80

Leitlinien der Art. 29 Datenschutzgruppe und ihre Kriterien

Ziel des Arbeitspapiers der Art. 29 Datenschutzgruppe ist es, für Einheitlichkeit im Umgang mit der Datenschutz-Folgenabschätzung zu sorgen. Es soll eine einheitliche europäische Liste für Verarbeitungsvorgänge enthalten, bei denen eine Folgenabschätzung obligatorisch ist, sowie einheitliche Kriterien aufstellen, wann ein „hohes Risiko“ vorliegt und wann nicht und zusätzlich, unter welchen Umständen die Aufsichtsbehörde nach Art. 36 Abs. 1 DSGVO informiert werden muss. Es soll der tatbestandlichen Prognoseentscheidungen, die typischerweise auf Unsicherheiten beruht, einen einheitlichen und verlässlichen Rahmen bieten, der für alle Verantwortlichen als Orientierung und Absicherung dienen soll.

Bevor die einzelnen Kriterien erläutert werden, stellt die Art. 29 Datenschutzgruppe klar, dass wenn ähnliche Technologien eingesetzt werden, um ähnliche Daten für einen ähnlichen Zweck zu sammeln, auch eine einheitliche Folgenabschätzung ausreicht. Die nachfolgenden Kriterien erläutern den Umfang und die Bedeutung der Formulierung des „voraussichtlich hohen Risikos für die Rechte und Freiheiten natürlicher Personen“ des Art. 35 Abs. 1 DSGVO. Neben den exemplarischen Fällen des Art. 35 Abs. 3 DSGVO, enthält das Arbeitspapier diese 10 Kriterien, die zu einer Folgenabschätzung führen können:

  1. Bewertung und Scoring sowie Profiling von Daten, die Arbeitsleistung, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen betreffen.
  2. Automatische Entscheidungsfindung mit rechtlichen oder ähnlichen Folgen für den Betroffenen, zum Beispiel wenn die Verarbeitung zum Ausschluss oder zu Diskriminierung von Betroffenen führt.
  3. Systematische Überwachung, insbesondere die systematische Überwachung von öffentlich zugänglichen Bereichen. Ausschlaggebend ist hier, dass der Betroffenen nicht weiß, von wem er überwacht wird und wer als Verantwortlicher dahinter steht. Darüber hinaus kann es für den Betroffenen unmöglich sein, diese Art von Überwachung zu vermeiden.
  4. Sensible Daten, wie sie in Art. 9 DSGVO beschrieben werden und persönliche Daten mit Bezug zu Straftaten
  5. Datenverarbeitung mit weitem Umfang, wobei der Erwägungsgrund 91 dazu herangezogen wird, um zu bestimmen, wann ein besonders umfangreicher Datenverarbeitungsvorgang vorliegt. Dabei ist die Anzahl der Betroffenen, die Menge oder der Umfang der Daten, die Dauer der Verarbeitung sowie die geographische Ausweitung der Verarbeitung in den Blick zu nehmen.
  6. Datensätze, die zusammengestellt oder kombiniert wurden und aus unterschiedlichen Verarbeitungsvorgängen gewonnen wurden.
  7. Daten, die gefährdete / schutzwürdige Personen betreffen, insbesondere im Hinblick auf wirtschaftliche Verluste, Identitätsdiebstahl oder –betrug oder andere immaterielle oder physische Schäden. Dieses Kriterium erfordert aufgrund des gehobenen Machtungleichgewichts zwischen Betroffenem und Verantwortlichem eine Folgenabschätzung, da dem Betroffenen keine effektive Möglichkeit zusteht zu wiedersprechen oder freiwillig zuzustimmen.
  8. Innovative Nutzung oder technische Prozesslösungen, wie Beispielsweise die Kombination von Fingerabdrücken mit Gesichtserkennungssystemen.
  9. Grenzüberschreitender Datentransfer außerhalb der Europäischen Union
  10. Wenn die Datenverarbeitung an sich die Betroffenen daran hindert ihre Rechte auszuüben oder von einer Dienstleistung Gebrauch zu machen.


Als Daumenregel stellt die Art. 29 Datenschutzgruppe auf, dass eine Folgenabschätzung erfolgen muss, sobald 2 dieser Kriterien kumulativ erfüllt sind; Ausnahmen natürlich vorbehalten. Und es gilt der Grundsatz, dass auch bei Unklarheit über die tatsächliche Erforderlichkeit der Folgenabschätzung die Durchführung in jedem Fall empfohlen wird, da die Folgenabschätzung ein hilfreiches Werkzeug ist, um eine Übereinstimmung mit dem Datenschutzrecht zu fördern. Die Durchführung muss vor Beginn des Verarbeitungsprozesses stattfinden. Die Folgenabschätzung muss mindestens die in Art. 35 Abs. 7 DSGVO aufgezählten Elemente enthalten, also eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (a), eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (b), eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (c) und die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. Das Arbeitspapier der Art. 29 Datenschutzgruppe empfiehlt darüber hinaus auch die Dokumentation von allen Schritten und Überwachung des gesamten Prozesses.

Keine Folgenabschätzung ist dagegen ausdrücklich dann erforderlich, wenn kein hohes Risiko für die Rechte und Freiheiten für natürliche Personen besteht. Also dann wenn Natur, Umfang, Kontext und Zweck der Verarbeitung sehr ähnlich sind mit Verarbeitungsvorgängen, für die bereits eine Folgenabschätzung durchgeführt wurde. Oder auch wenn für die Verarbeitung eine Rechtsgrundlage besteht oder der Verarbeitungsvorgang auf der Liste der Aufsichtsbehörden zu finden ist, die alle folgenabschätzungsfreien Verarbeitungsvorgänge enthält.

Vergleich mit der Vorabkontrolle und dem „Standard-Datenschutzmodell“

Herzstück der Datenschutz Folgenabschätzung stellt die Bewertungsphase nach Art. 35 Abs. 7 lit. b und c DSGVO dar. Sie gleicht die Verarbeitungsvorgänge, Zwecke und Risiken für die Rechte und Freiheiten der Betroffenen mit den rechtlichen Vorgaben ab und entwickelt eine Relation zwischen der Eintrittswahrscheinlichkeit einerseits und der Schwere der möglichen Schäden für die Betroffenen andererseits. Dabei werden Gefahrenlagen und Gewährleistungsziele als Prüfungsmaßstab einbezogen, was sehr an das sog. Standard-Datenschutzmodell erinnert, welches die Datenschutzbeauftragten des Bundes und der Länder seit Herbst 2015 verwenden und welches auf den Voraussetzungen der Vorabentscheidung des § 4 d Abs. 5 BDSG beruht. Das Standard-Datenschutzmodell gibt dem Verwender eine Methode an die Hand, um Verarbeitungsvorgänge systematisch auf ihre Übereinstimmung mit dem geltenden Recht abzugleichen. Kernstück dieser Methode stellen die sechs Gewährleistungsziele dar. Diese Gewährleistungsziele streben eine normgerechte Verarbeitung durch technisch-organisatorische Maßnahmen an, sind aber nicht zu verwechseln mit den Schutzzielen, die in einigen Landesdatenschutzgesetzen enthalten sind. Während die ersten drei Gewährleistungsziele die Daten- und Informationssicherheit betreffen, sind die weiteren drei auf den Schutz der Betroffenen ausgerichtet:

  • Verfügbarkeit: Begrifflich bedeutet Verfügbarkeit, dass die Daten zugänglich sein müssen, also ordnungsgemäß im vorgesehenen Prozess verwendet werden können. Sie müssen für den Berechtigten zugriffsbereit sein und die vorgesehenen Methoden müssen auf sie anwendbar sein.
  • Integrität: Das Standard-Datenschutzmodell erklärt das Gewährleistungsziel der Integrität so, dass „informationstechnische Prozesse und Systeme die Spezifikationen kontinuierlich einhalten, die zur Ausübung ihrer zweckbestimmten Funktionen für sie festgelegt wurden“. Andererseits bedeutet dies auch, dass die Daten unversehrt, vollständig und aktuell bleiben.
  • Vertraulichkeit: Keine Person darf personenbezogene Daten unbefugt zur Kenntnis nehmen.
  • Nichtverkettung: Das Gewährleistungsziel der Nichtverkettung garantiert, dass Daten nur für den Zweck verarbeitet und ausgewertet werden, für den sie auch zweckgebunden erhoben wurden. 
  • Transparenz: Transparenz bedeutet in diesem Zusammenhang, dass sowohl Betreiber als auch Kontrollinstanzen erkennen können, welche Daten für welchen Zweck in einem Verfahren erhoben und verarbeitet werden, welche Systeme und Zwecke genutzt wurden und wo der Datenfluss endet.
  • Intervenierbarkeit: Den Betroffenen müssen Rechte auf Benachrichtigung, Auskunft, Berichtigung, Sperrung und Löschung eingeräumt werden und die verantwortliche Stelle ist dazu verpflichtet, die eingeforderten Maßnahmen auch umzusetzen.


Anhand der Gewährleistungsziele ist erkennbar, dass das Standard-Datenschutzmodell die Betroffenenperspektive in den Mittelpunkt der Vorabentscheidung stellt, während die DSGVO mit ihrer Folgenabwägung eher den Fokus auf das Schadensrisiko legt. Art. 35 Abs. 7 lit b und c DSGVO stellt die „Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck“ und die Risiken für die Betroffenen in den Mittelpunkt, strebt also nach einem angemessenen Ausgleich zwischen legitimen Verarbeitungszielen und den möglichen Schäden für die Betroffenen. Auch wenn die gesetzlichen Anforderungen im BDSG und der DSGVO ähnlich formuliert sind, so lässt sich doch in der Methodik eine Tendenz finden, vom bloßen Betroffenenschutz Abstand zu nehmen und den gerechten Ausgleich zwischen den gegenüberstehenden Interessen zu suchen. Das Standard-Datenschutzmodell kann als Vorreiter wichtige Impulse mitgeben und als Grundgerüst dienen, jedoch ist die Datenschutz-Folgenabschätzung als eigenständiges Instrument mit abweichender Schutzrichtung zu betrachten.

Folgen einer unterlassenen Folgenabschätzung

Ist eine Folgenabschätzung oder eine Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO erforderlich, wird aber versäumt, so können auf den Verantwortlichen schwere Sanktionen zukommen. Nach Art. 83 Abs. 4 lit. a iVm Art. 39 DSGVO kann dem Verantwortlichen ein Bußgeld in Höhe von 10 000 000 Euro oder im Falle eines Unternehmens von bis zu 2% seines weltweit erzielten Jahresumsatzes drohen, je nachdem welcher der beiden Beträge höher ist. Alternativ können Maßnahmen der Aufsichtsbehörde nach Art. 58 DSGVO verhängt werden.