DSFA: Ihre erste Verteidigungslinie gegen DSGVO-Sanktionen

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein obligatorischer Risikoanalyseprozess, der nach Artikel 35 der EU-Datenschutz-Grundverordnung (DSGVO, Verordnung 2016/679) erforderlich ist, bevor Verarbeitungsvorgänge begonnen werden, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Die AEPD hat eine Liste von Verarbeitungstätigkeiten veröffentlicht, die in Spanien immer eine DSFA erfordern, einschließlich systematischer Überwachung öffentlicher Räume, großangelegter Verarbeitung besonderer Datenkategorien und automatisierter Entscheidungsfindung mit wesentlichen Rechtswirkungen für Personen. Eine DSFA muss die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung beurteilen, Risiken identifizieren und bewerten und Minderungsmaßnahmen definieren; wenn das Restrisiko hoch bleibt, ist eine vorherige Konsultation der AEPD nach Artikel 36 DSGVO obligatorisch, bevor die Verarbeitung beginnt.

Die Datenschutz-Folgenabschätzung ist das Instrument, das die DSGVO Organisationen gibt, um die Risiken ihrer komplexesten Verarbeitungstätigkeiten proaktiv zu managen. Wenn sie rigoros durchgeführt wird, ist sie keine bürokratische Formalität — sie ist der stärkste Nachweis, dass eine Organisation ihrer Rechenschaftspflicht nachgekommen ist, bevor personenbezogene Daten verarbeitet wurden.

Wann die DSFA-Pflicht gilt: Die neun EDPB-Kriterien

Artikel 35 der DSGVO schreibt eine DSFA vor Beginn jeder Verarbeitung vor, die wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Der Europäische Datenschutzausschuss (EDPB) hat neun Kriterien veröffentlicht, deren Vorliegen die DSFA-Pflicht auslöst. Wenn zwei oder mehr dieser Kriterien zusammentreffen, ist die Bewertung obligatorisch:

1. Bewertung oder Scoring natürlicher Personen einschließlich Profiling
2. Automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Wirkungen
3. Systematische Überwachung von Personen in öffentlich zugänglichen Räumen
4. Besondere Datenkategorien (Gesundheit, Ideologie, biometrische Daten, finanzielle Daten)
5. Daten von Minderjährigen
6. Verarbeitung in großem Maßstab jeder Datenkategorie
7. Kombination oder Abgleich von Datensätzen aus verschiedenen Quellen
8. Übermittlungen außerhalb des EWR ohne angemessene Garantien
9. Einsatz innovativer Technologien, die noch nicht bewertet wurden

Die AEPD hat außerdem ihre eigene Liste von Verarbeitungstätigkeiten veröffentlicht, die in Spanien immer eine DSFA erfordern — unabhängig von der Anzahl der gleichzeitig vorliegenden Kriterien. Unternehmen in Sektoren wie Gesundheit, Bankwesen, Insurtech, Adtech oder Personalwesen haben mit großer Wahrscheinlichkeit Verarbeitungstätigkeiten, die eine DSFA erfordern und noch nicht identifiziert wurden.

Der Qualitätsstandard, auf den es ankommt

Der Wert einer DSFA wird durch die Tiefe der Risikoanalyse bestimmt, nicht durch das Volumen der Dokumentation. Eine DSFA, die generische Risiken auflistet, ohne Wahrscheinlichkeit und Auswirkung zu bewerten, oder die Standardminderungsmaßnahmen vorschlägt, ohne ihre Wirksamkeit im spezifischen Verarbeitungskontext zu prüfen, hält einer AEPD-Prüfung nicht stand. Eine DSFA von schlechter Qualität schützt das Unternehmen nicht: Die Behörde kann sie jederzeit anfordern, und ihre Unzulänglichkeit erzeugt eine Verantwortlichkeit, die der Nichtdurchführung gleichkommt.

Unsere Methodik folgt dem AEPD-Praxisleitfaden, der die Referenz ist, die die Behörde bei ihren Inspektionen verwendet. Wir analysieren die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, kartieren die Risiken für die Betroffenen mit spezifischer Bewertung von Wahrscheinlichkeit und Auswirkung und entwerfen konkrete und überprüfbare Minderungsmaßnahmen. Wenn das Restrisiko nach Anwendung aller verfügbaren Maßnahmen hoch bleibt, verwalten wir die obligatorische vorherige Konsultation bei der AEPD.

DSFA und Künstliche Intelligenz: Die Überschneidung mit dem EU-KI-Gesetz

Die Schnittstelle zwischen der DSGVO und dem EU-KI-Gesetz ist einer der Bereiche mit der höchsten Komplexität für Unternehmen, die KI-Systeme einsetzen, die personenbezogene Daten verarbeiten. Das KI-Gesetz erlegt seine eigene Konformitätsbewertung für Hochrisiko-KI-Systeme nach Anhang III auf — technische Dokumentation, Qualitätsmanagementsystem, Eintragung in die EU-Datenbank der Kommission und regelmäßige Bewertung.

Wenn dieses Hochrisiko-KI-System auch personenbezogene Daten verarbeitet — was bei Personalauswahlsystemen, Kreditrisikoanalysen, Gesundheitssystemen oder intelligenter Videoüberwachung häufig der Fall ist — muss der Verantwortliche gleichzeitig die DSFA der DSGVO und die Konformitätsbewertung des KI-Gesetzes erfüllen.

Unser Team führt diese Bewertungen integriert durch, um Doppelarbeit zu vermeiden und die regulatorische Abdeckung zu maximieren. Wir koordinieren mit dem Service EU-KI-Gesetz-Compliance und KI-Governance, damit das Dokumentationssystem zwischen beiden Normen kohärent ist und der Verantwortliche eine einheitliche Akte vor der AEPD und der KI-Gesetz-Aufsichtsbehörde vorlegen kann.

Privacy by Design beginnt mit der DSFA

Für neue digitale Produkte und interne Systeme sollte die DSFA in der Entwurfsphase durchgeführt werden — bevor irreversible technische Entscheidungen getroffen werden. Wir identifizieren Datenschutzrisiken, während sie noch durch architektonische Entscheidungen adressiert werden können. Wenn Minderungsmaßnahmen nach dem Start technische Änderungen erfordern, sind sie kostspielig. Dieser Privacy-by-Design-Ansatz ist erheblich effizienter und der von der DSGVO selbst geförderte Ansatz.

Die vorherige Konsultation bei der AEPD ist ein Verfahren, das vielen Verantwortlichen nicht bekannt ist, das die DSGVO aber zur Voraussetzung für die Fortführung der Verarbeitung macht, wenn das Restrisiko nicht auf ein akzeptables Niveau reduziert werden kann. Eine gut dokumentierte und mit einer soliden technischen Akte unterstützte vorherige Konsultation ist eine Gelegenheit, die Genehmigung der Behörde vor dem Start zu erhalten und die spätere Sanktionsexposition erheblich zu reduzieren. Wir haben 100 % der verwalteten vorherigen Konsultationen erfolgreich abgeschlossen.

Koordination mit dem externen Datenschutzbeauftragten

Die DSGVO verlangt, dass der Verantwortliche den Datenschutzbeauftragten (DSB) während des DSFA-Prozesses konsultiert. Wenn das Unternehmen keinen internen DSB hat, übernimmt unser externer Datenschutzbeauftragter diese Rolle — mit spezifischer Sachkenntnis sowohl im DSGVO-Recht als auch in den für den Sektor des Unternehmens relevanten technischen Systemen.

Die Unabhängigkeit des Bewerters ist ein wichtiger Qualitätsfaktor: Eine DSFA, die von demselben Team durchgeführt wird, das die Verarbeitung entworfen hat, hat weniger regulatorische Glaubwürdigkeit als eine externe Bewertung. Unser Team kombiniert rechtliche Expertise im Datenschutzrecht mit praktischem technischem Wissen über Informationssysteme, was unsere Bewertungen besonders solide für sektorale Aufsichtsbehörden macht.

Schutz vor AEPD-Sanktionen: Was auf dem Spiel steht

Die AEPD ist eine der aktivsten Datenschutzbehörden in der EU, gemessen an der Anzahl der Sanktionierungsverfahren und der verhängten Sanktionen. Eine riskante Verarbeitungstätigkeit ohne gültige DSFA setzt das Unternehmen Geldbußen von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes aus. Eine häufige Situation: Die AEPD leitet aufgrund einer Beschwerde oder einer routinemäßigen Inspektion ein Verfahren ein und fordert die DSFA an — zu diesem Zeitpunkt ist es zu spät, eine zu erstellen. Ein von Anfang an vorhandener robuster Datenschutz-Rahmen ist die wirksamste Prävention.