Risikobewertung und Datenschutz-Folgeabschätzung - DSFA-Umsetzungsleitfaden (Art. 35 DSGVO)
- Der DSFA-Umsetzungsleitfaden (Art. 35 DSGVO)
- Die Checkliste: Schritt für Schritt zum Bericht
2.1. Projekt-Basisdaten
2.2. Beschreibung der Verarbeitung
2.3. Prüfung der Verhältnismäßigkeit
2.4. Risikomanagement
2.4.1. Maßnahmen zur Risikominimierung
2.5. Freigabe und Review
1. Der DSFA-Umsetzungsleitfaden (Art. 35 DSGVO)
Die DSFA ist kein einmaliges Dokument, sondern ein lebendiger Prozess. Sie sollte idealerweise vor Beginn der Verarbeitung (Privacy by Design) gestartet werden.
- Phase 1: Die Schwellenwertanalyse (Brauchen wir das überhaupt?)
Bevor Sie tief einsteigen, prüfen Sie, ob eine DSFA verpflichtend ist. Das ist der Fall, wenn die Verarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
KI-Spezifisch: Automatisierte Entscheidungsfindungen, systematisches Monitoring oder der Einsatz neuartiger Technologien triggern fast immer eine DSFA-Pflicht.- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
- Phase 2: Systematische Beschreibung
- Phase 3: Notwendigkeit und Verhältnismäßigkeit
- Phase 4: Risikobewertung
- Phase 5: Maßnahmen zur Risikominimierung
2. Die Checkliste: Schritt für Schritt zum Bericht
Nutzen Sie diese Liste, um sicherzustellen, dass kein Aspekt des Art. 35 DSGVO vergessen wurde.
2.1. Projekt-Basisdaten
- Verantwortliche Stelle und Datenschutzbeauftragter benannt bzw. ernennen und schulen
- Gemeinsam Verantwortliche (Art. 26) oder Auftragsverarbeiter (Art. 28) definieren
- Name und Standort im Verfahrensverzeichnis
- Verantwortliche Arbeitseinheit (interne Verantwortlichkeit)
2.2. Beschreibung der Verarbeitung
Hier beschreiben Sie das "Was, Wie und Warum":
- Datenfluss: Woher kommen die Daten? Wo fließen sie hin? (Verschlagwortung, Cloud-Infrastruktur).
- Technik: Welche Algorithmen werden genutzt? Gibt es eine menschliche Kontrolle (Human-in-the-Loop)?
- Zweck: Welches legitime Ziel verfolgen Sie?
Checkliste:
- Welche Dokumente werden verarbeitet?
- Rechnungen
- Lieferscheine
- E-Mails (Funktionskonto / Sammelkonto)
- E-Mail aus E-Mail-Postfach einer Person
- Beschreibung der Datenarten, die verarbeitet werden (Sensibel nach Art. 9?)
- Name
- E-Mail-Adresse
- Geburtsdatum
- Standortdaten
- Art der Verarbeitung (z.B. Bewertung, Prognose, Profiling, automatisierte Entscheidung nach § 54 BDSG)
- Umfang der Verarbeitung (z.B. Datenmenge, geographisches Ausmaß, Beschränkung auf bestimmte Phänomene)
- Umstände der Verarbeitung (z.B. Eingriffsintensität der zur Datenerhebung eingesetzten Mittel, verdeckte Datenerhebung, Benachrichtigung der Betroffenen, Verfahrenssicherungen wie Richtervorbehalte oder Einwilligungserfordernisse, Eingriffsintensität der mit der Verarbeitung bezweckten Maßnahmen, dezentrale oder zentrale Datenhaltung, Sortierbarkeit, Verknüpfungsmöglichkeiten)
- Speicherdauer und Aussonderungsprüffristen / Speicherdauer und Löschkonzept definieren
- Protokollierung nach § 76 BDSG oder Fachrecht (insbesondere Speicherort und zuständige Organisationseinheit, Analysefähigkeit, Zugriffsberechtigungen, sonstige Maßnahmen zur Sicherstellung der Zweckbindung)
- Werden bei der Verarbeitung neue Technologien (z.B. neue Datenmodelle) verwendet?
- KI-Fokus: Wurde das Modell bzw. die Logik des Algorithmus (soweit möglich) und die Datenbasis für das Training beschrieben?
- Human-in-the-Loop: An welcher Stelle greift ein Mensch ein? Kann er die KI-Entscheidung überschreiben? (z.B. Dr.DOC Workflow oder Feldvorbelegung mit Suchvorlagen)
- Zwecke der Verarbeitung (mit Erläuterung):
- Aufgabenerfüllung
- Dokumentation
- Vorgangsverwaltung
- Gefahrenabwehr
- Beschreibung des Personenkreises, dessen Daten verarbeitet werden
- Werden Daten von Personen verarbeitet, die keinen Anlass für ihre Speicherung gegeben haben?
- Nein
- Ja: -> Warum?
- Werden Daten von Personen verarbeitet, für deren Speicherung eine Negativprognose erforderlich ist?
- Nein
- Ja: -> Warum?
- Werden Daten von besonders schutzbedürftigen Personen verarbeitet (z.B. Kinder, Opfer)?
- Nein
- Ja: -> Warum?
- Werden auch persönliche Einschätzungen im Sinne des § 73 BDSG verarbeitet?
- Nein
- Ja: -> Warum?
2.3. Prüfung der Verhältnismäßigkeit
Prüfen Sie, ob der Zweck auch mit weniger invasiven Mitteln erreicht werden kann.
- Ist die Datensparsamkeit gewahrt?
- Gibt es eine Rechtsgrundlage (z. B. Art. 6 Abs. 1 DSGVO – berechtigtes Interesse)?
- Verhältnismäßigkeit: Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Art, Umstände, Umfang und Zweck.
- Was ist der legitime Zweck der Verarbeitung? Ist der Zweck legitim und klar definiert?
- Berechtigtes Interesse an der Verarbeitung?
Sind Art, Umstände und Umfang der Verarbeitung zur Erreichung dieses Zweckes geeignet? Warum? - Verarbeitung zur Zielerreichung notwendig?
Sind Art, Umstände und Umfang der Verarbeitung zur Erreichung dieses Zweckes erforderlich? Warum? - Gibt es mildere Mittel zur Erreichung desselben Zweckes? Wenn ja, welche?
- Warum sind diese nicht in gleicher Weise zur Erreichung des Zweckes geeignet?
- Steht die Verarbeitung nach Art, Umständen und Umfang und der daraus resultierenden Schwere des Eingriffs in die Rechte und Freiheiten der betroffenen Personen nicht außer Verhältnis zum Zweck? Ist der Eingriff zumutbar?
- Wurden Betroffenenrechte (Auskunft, Löschung, Widerspruch) technisch sichergestellt?
2.4. Risikomanagement
- Identifizieren Sie Bedrohungen und Risiken (z. B. KI-Bias, Identitätsdiebstahl, unbefugter Zugriff).
- Bewerten Sie diese nach:
- Eintrittswahrscheinlichkeit
- Schadensschwere
Einfache Formel als Bewertungschema:
Risiko = Wahrscheinlichkeit * Schweregrad
Bzw.
Risiko = Wahrscheinlichkeit * Häufigkeit * Schweregrad
Grafik Quelle: BayLDA / www.lda.bayern.de
Hinweis: Wenn das Risiko trotz Maßnahmen "hoch" bleibt, müssen Sie möglicherweise die Aufsichtsbehörde konsultieren (Art. 36).
- Identifikation und Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- Ermittlung und Dokumentation der technischen und organisatorischen Maßnahmen zur Bewältigung der identifizierten Risiken / zur Gewährleistung eines angemessenen Schutzniveaus (§ 64 BDSG)
- Welche Maßnahmen sind / werden umgesetzt?
- Wird / wurde die Wirksamkeit überprüft?
- Wurden spezifische Risiken (z. B. Fehlklassifizierung mit rechtlichen Folgen) identifiziert?
- Hat die Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge, aufgrund...:
- ihrer Art
- Nein
- Ja: -> Warum?
- ihres Umfangs
- Nein
- Ja: -> Warum?
- ihrer Umstände
- Nein
- Ja: -> Warum?
- ihrer Zwecke
- Nein
- Ja: -> Warum?
- ihrer Art
- Ergibt sich aus einer Gesamtbetrachtung von Art, Umfang, Umständen und Zwecken der Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen?
- Nein
- Ja: -> Warum?
- Hat die Verarbeitung voraussichtlich eine erhebliche Gefahr für die Rechtsgüter der betroffenen Personen zur Folge, aufgrund...:
- Wurde geprüft, ob die technischen und organisatorischen Maßnahmen alle identifizierten Risiken abdecken?
- Bewertung des Restrisikos: Bleibt das Risiko nach Maßnahmen "hoch"?
- Nein
- Ja: -> Warum?
2.4.1. Maßnahmen zur Risikominimierung
Welche technischen und organisatorischen Maßnahmen (TOMs) setzen Sie ein, um die Risiken auf ein akzeptables Maß zu reduzieren? (z. B. Anonymisierung, Verschlüsselung, Schulung der "Humans-in-the-Loop").
2.5. Freigabe und Review
- Stellungnahme des Datenschutzbeauftragten eingeholt?
- Datum für die nächste Überprüfung festgelegt (spätestens nach 1-2 Jahren oder bei Systemänderung)?
Tipp für KI-Projekte mit KI-Embedding/Modell aus eigenen Trainingsdaten:
Dokumentieren Sie besonders sorgfältig, wie Sie einen Bias (Voreingenommenheit) im Trainingsdatensatz verhindern, für die mögliche Argumentation gegenüber Aufsichtsbehörden.