Nexvyra

DSGVO Art. 35 (VO 2016/679) – Datenschutz-Folgenabschätzung (DPIA): Pflichtfälle, Inhalt, vorherige Konsultation

DSGVO Art. 35 (VO 2016/679) – Datenschutz-Folgenabschätzung (DPIA): Pflichtfälle, Inhalt, vorherige Konsultation

Kurzantwort

Die Datenschutz-Folgenabschätzung (DSFA, engl. Data Protection Impact AssessmentDPIA) nach Art. 35 der Verordnung (EU) 2016/679 (DSGVO) ist eine vorab durchzuführende Risikoprüfung. Sie ist immer dann Pflicht, wenn eine Form der Verarbeitung – insbesondere bei Einsatz neuer Technologien – aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1).

Art. 35 Abs. 3 nennt drei Pflichtfälle, in denen eine DSFA stets erforderlich ist: (a) systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verarbeitung einschließlich Profiling mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung, (b) umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9) oder von Daten über strafrechtliche Verurteilungen (Art. 10) und (c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung). Ergänzend veröffentlichen die Aufsichtsbehörden Muss-Listen (Art. 35 Abs. 4) – in Deutschland die Liste der Datenschutzkonferenz (DSK).

Ergibt die DSFA ein hohes Restrisiko, das der Verantwortliche nicht durch Maßnahmen eindämmen kann, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (Art. 36 „vorherige Konsultation"). Verstöße gegen Art. 35 und 36 können mit Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 4 lit. a).

Kernfakten

PunktWert
RechtsaktVerordnung (EU) 2016/679 (DSGVO), Artikel 35 [eur-lex.europa.eu, CELEX:32016R0679]
RechtsnaturEU-Verordnungunmittelbar anwendbar in Deutschland (kein Umsetzungsgesetz nötig)
Geltung seit25. Mai 2018 [Art. 99 Abs. 2 DSGVO]
Auslöser (Generalklausel)Verarbeitung mit voraussichtlich hohem Risiko, v. a. bei neuen Technologien [Art. 35 Abs. 1]
Pflichtfall asystematische, umfassende Bewertung + automatisierte Verarbeitung/Profiling mit Rechtswirkung/erheblicher Beeinträchtigung [Art. 35 Abs. 3 lit. a]
Pflichtfall bumfangreiche Verarbeitung besonderer Kategorien (Art. 9) oder Straftatdaten (Art. 10) [Art. 35 Abs. 3 lit. b]
Pflichtfall csystematische umfangreiche Überwachung öffentlich zugänglicher Bereiche [Art. 35 Abs. 3 lit. c]
Muss-Liste (DE)DSK-Liste nach Art. 35 Abs. 4 (nicht-öffentlicher Bereich) – z. B. Scoring, Videoüberwachung mit Verhaltensanalyse, Beschäftigten-Screening
EDPB-Kriterien9 Kriterien (Leitlinie WP 248 rev.01); Faustregel: ≥ 2 Kriterien erfüllt → DSFA regelmäßig erforderlich
Mindestinhalt(a) Beschreibung, (b) Bewertung Notwendigkeit/Verhältnismäßigkeit, (c) Risiken, (d) Abhilfemaßnahmen [Art. 35 Abs. 7]
DSB einzubindenRat des Datenschutzbeauftragten ist einzuholen [Art. 35 Abs. 2]
Betroffene anhörenStandpunkt Betroffener „gegebenenfalls" einholen [Art. 35 Abs. 9]
Vorherige Konsultationbei hohem Restrisiko ohne Eindämmung → Aufsichtsbehörde vor Verarbeitung konsultieren [Art. 36 Abs. 1]
Frist Aufsichtsbehördebis zu 8 Wochen schriftliche Empfehlung, + 6 Wochen Verlängerung möglich [Art. 36 Abs. 2]
ÜberprüfungDSFA bei Risikoänderung erneut durchführen [Art. 35 Abs. 11]
Sanktionenbis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (der höhere Wert) [Art. 83 Abs. 4 lit. a]
NachweispflichtRechenschaftspflicht: DSFA dokumentieren und vorhalten [Art. 5 Abs. 2, Art. 24]
Erfasster Personenkreisalle Verantwortlichen, die Hochrisiko-Verarbeitungen durchführen (Marktortprinzip, Art. 3)

Geltungsbereich

Art. 35 richtet sich an den Verantwortlichen (Art. 4 Nr. 7) – also die Stelle, die über Zwecke und Mittel der Verarbeitung entscheidet. Die Pflicht besteht vor Beginn der Verarbeitung und unabhängig von der Rechtsgrundlage nach Art. 6. Bei gemeinsam Verantwortlichen (Art. 26) ist die Zuständigkeit für die DSFA in der Vereinbarung zu regeln. Der Auftragsverarbeiter (Art. 28) führt keine eigene DSFA durch, muss aber den Verantwortlichen dabei unterstützen (Art. 28 Abs. 3 lit. f).

Eine DSFA ist nicht erforderlich, wenn eine gleichartige Verarbeitung bereits Gegenstand einer DSFA war (Art. 35 Abs. 1 Satz 2) oder wenn die Verarbeitung auf einer Rechtsgrundlage beruht, für die der Gesetzgeber bereits eine allgemeine Folgenabschätzung vorgenommen hat (Art. 35 Abs. 10). Über das Marktortprinzip (Art. 3 Abs. 2) gilt die Pflicht auch für Verantwortliche außerhalb der EU, die betroffenen Personen in der EU Waren/Dienstleistungen anbieten oder ihr Verhalten beobachten.

Detail: Wann ist eine DSFA Pflicht?

Maßgeblich ist eine zweistufige Prüfung. Auf der ersten Stufe steht die Schwellwertanalyse: Löst die Verarbeitung „voraussichtlich ein hohes Risiko" aus (Art. 35 Abs. 1)? Dafür sind heranzuziehen: die drei Pflichtfälle des Art. 35 Abs. 3, die DSK-Muss-Liste (Art. 35 Abs. 4) sowie die neun EDPB-Kriterien der Leitlinie WP 248 rev.01 (u. a. Bewertung/Scoring, automatisierte Entscheidungen mit Rechtswirkung, systematische Überwachung, sensible Daten, umfangreiche Verarbeitung, Abgleich von Datensätzen, Daten schutzbedürftiger Personen, innovative Technologien, Verhinderung der Rechtsausübung). Sind zwei oder mehr dieser Kriterien erfüllt, ist regelmäßig von einer DSFA-Pflicht auszugehen; in Einzelfällen kann bereits ein Kriterium genügen.

Detail: Inhalt und Ablauf (Art. 35 Abs. 7)

Die DSFA muss mindestens enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke; eine Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck; eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen; sowie die geplanten Abhilfemaßnahmen (Garantien, Sicherheitsvorkehrungen und technisch-organisatorische Maßnahmen nach Art. 32). Der Rat des Datenschutzbeauftragten ist einzuholen (Art. 35 Abs. 2); der Standpunkt der Betroffenen ist „gegebenenfalls" einzuholen (Art. 35 Abs. 9). Ändert sich das Risiko, ist die DSFA zu wiederholen (Art. 35 Abs. 11).

Detail: Vorherige Konsultation (Art. 36)

Bleibt nach den geplanten Maßnahmen ein hohes Restrisiko, muss der Verantwortliche die Aufsichtsbehörde vor der Verarbeitung konsultieren (Art. 36 Abs. 1). Die Behörde erteilt binnen bis zu acht Wochen schriftliche Empfehlungen; die Frist kann bei Komplexität um sechs Wochen verlängert werden (Art. 36 Abs. 2). Erst nach Abschluss der Konsultation darf mit der Verarbeitung begonnen werden. Die Missachtung der Konsultationspflicht ist eigenständig bußgeldbewehrt (Art. 83 Abs. 4 lit. a).

Häufige Fehler

Quellen

Änderungsverlauf

Stand