Was ist eine Schwellwertanalyse nach DSGVO und wann ist sie Pflicht?

Schwellwertanalyse in 5 Schritten durchführen
Kategorien:
, ,

Die Bewertung von Risiken, die mit der Verarbeitung personenbezogener Daten einhergehen, spielt beim Datenschutz eine zentrale Rolle. Ein wesentliches Instrument in diesem Zusammenhang ist die sogenannte Schwellwertanalyse: Eine Vorprüfung, die darüber entscheidet, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO notwendig ist. Gerade für Datenschutzbeauftragte und Compliance-Verantwortliche stellt sich in der Praxis regelmäßig die Frage: Wann ist eine Schwellwertanalyse durchzuführen, wie funktioniert sie, und wie lässt sich sicher beurteilen, ob ein „voraussichtlich hohes Risiko“ vorliegt? Dieser Beitrag gibt praxisnahe Antworten auf diese und weitere Fragen und zeigt auf, wie sich Schwellwertanalysen wirksam und rechtssicher in die Datenschutzorganisation integrieren lassen.

Was ist eine Schwellwertanalyse?

Eine Schwellwertanalyse (englisch: threshold analysis) bezeichnet eine vorherige Risikoeinschätzung im Datenschutz. Bevor eine neue Datenverarbeitung startet oder wesentlich geändert wird, prüft der Verantwortliche, ob die Schwelle zum „hohen Risiko“ überschritten wird. Ist dies der Fall, muss nach Art. 35 DSGVO eine ausführliche Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Die Schwellwertanalyse ist nicht ausdrücklich als Begriff im Gesetz genannt, ergibt sich aber aus Art. 35 Abs. 1, 3 und 4 DSGVO. Sie ist im Grunde eine vorgelagerte Risikoanalyse, mit der das aktuelle Risikoniveau einer Verarbeitung bestimmt wird.

Dabei steht das Risiko für die Rechte und Freiheiten natürlicher Personen im Mittelpunkt. Also die möglichen negativen Folgen für die Betroffenen wie Diskriminierung, Identitätsdiebstahl, finanzielle Verluste oder Rufschädigung (vgl. Erwägungsgrund 75 DSGVO).

Ein Risiko wird typischerweise durch zwei Faktoren bestimmt: Eintrittswahrscheinlichkeit und Schadensschwere eines Ereignisses. Vereinfacht gesagt: Je wahrscheinlicher und je gravierender ein möglicher Schaden für Betroffene ist, desto höher ist das Risiko. Die Schwellwertanalyse fragt somit: Reicht dieses Risiko voraussichtlich an ein hohes Niveau heran? Wenn nein, kann die Verarbeitung ohne DSFA auskommen. Wenn doch, ist eine DSFA Pflicht.

Worin unterscheiden sich Schwellwertanalyse, Risikoanalyse und Datenschutz-Folgenabschätzung (DSFA)?

Diese Begriffe hängen eng zusammen, haben aber unterschiedliche Funktionen im Datenschutz-Management:

  • Schwellwertanalyse ist eine formalisierte Risikoabschätzung im Vorfeld einer DSFA. Sie konzentriert sich im Wesentlichen auf die Frage „Ja oder Nein: liegt ein hohes Risiko vor?“. Hier wird also noch nicht ins letzte Detail analysiert, sondern es werden anhand von Kriterien die potenziellen Risiken grob eingeordnet. Die Schwellwertanalyse ist damit Teil des Risikomanagements eines Verantwortlichen und dient der Entscheidungsfindung, ob eine umfassendere Untersuchung (DSFA) notwendig ist.
  • Riskoanalyse wird als Begriff oft allgemein verwendet und kann sowohl die Schwellwertanalyse als auch die ausführliche Risikoanalyse im Rahmen der DSFA meinen. Grundsätzlich verlangt die DSGVO, dass Verantwortliche die Risiken ihrer Verarbeitungstätigkeiten laufend bewerten und managen – unabhängig davon, ob eine DSFA Pflicht besteht oder nicht. Jede Verarbeitung birgt gewisse Risiken, die es durch geeignete technische und organisatorische Maßnahmen zu beherrschen gilt. Insofern ist die Risikobeurteilung ein fortlaufender Prozess im Datenschutz-Management. Die Risikoanalyse im engeren Sinne (etwa analog zur Schutzbedarfsanalyse in der IT-Sicherheit) umfasst die Identifizierung von Risiken, die Bewertung von Eintrittswahrscheinlichkeit und Schadenshöhe und die Festlegung von Maßnahmen zur Risikobehandlung.
  • Datenschutz-Folgenabschätzung (DSFA) ist die detaillierte Untersuchung und Bewältigung hoher Risiken. Hat die Schwellwertanalyse ergeben, dass ein hohes Risiko voraussichtlich besteht, geht man mit der DSFA ins Detail. Die DSFA ist ein strukturiertes Verfahren, das inhaltlich in Art. 35 Abs. 7 DSGVO vorgegeben ist. Sie umfasst typischerweise: eine genaue Beschreibung des Vorgangs, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, eine eingehende Risikoanalyse (welche konkreten Risiken bestehen für welche Rechte?), und die Festlegung von Maßnahmen zur Bewältigung dieser Risiken. Im Ergebnis entsteht ein DSFA-Bericht, der sämtliche Befunde und Maßnahmen zur Risikominimierung dokumentiert. Teil der DSFA kann auch eine Rückmeldung durch den Datenschutzbeauftragten sein und falls trotz Maßnahmen ein hohes Restrisiko verbleibt, eine Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).


Lese-Tipp: Wann muss eine Datenschutz-Folgenabschätzung (DSFA) erfolgen?

Wann ist eine Schwellwertanalyse nicht notwendig?

Nach der DSGVO ist eine Datenschutz-Folgenabschätzung „immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“. Praktisch bedeutet dies, dass vor Inbetriebnahme einer neuen Datenverarbeitung oder bei wesentlicher Änderung einer bestehenden eine Schwellwertanalyse durchzuführen ist, um genau dieses hohe Risiko abzuschätzen. Artikel 35 DSGVO nennt dabei einige Fälle ausdrücklich, in denen in jedem Fall eine DSFA vorgenommen werden muss. Diese beinhalten insbesondere:

  • Profiling und automatisierte Entscheidungsfindung mit erheblichen Auswirkungen (z.B. vollautomatische Bonitäts-Scoring-Systeme),
  • Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (sensible Daten wie Gesundheitsdaten, biometrische Daten etc.),
  • Systematische umfangreiche Überwachung öffentlich zugänglicher Räume (klassisches Beispiel: Videoüberwachung großer Bereiche).


Liegt eine geplante Verarbeitung in einer dieser Kategorien, ist die DSFA-Pflicht eindeutig. Die Schwellwertanalyse bestätigt dann lediglich den offensichtlichen Befund.

Darüber hinaus verpflichtet Art. 35 Abs. 4 DSGVO die Aufsichtsbehörden, Listen von Verarbeitungsvorgängen zu veröffentlichen, für die eine DSFA erforderlich ist. In Deutschland existieren solche Blacklists sowohl für den nicht-öffentlichen Bereich (verabschiedet durch die Datenschutzkonferenz, DSK) als auch für öffentliche Stellen (erlassen durch die BfDI). Beispielsweise nennt die Blacklist der Behörden u.a. Scoring-Systeme, Big-Data-Analysen von Kundendaten oder umfangreiche Monitoring-Maßnahmen als DSFA-pflichtig. Es empfiehlt sich also stets zu prüfen, ob die geplante Verarbeitung auf einer solchen Liste steht.

Hinweis: Auf sogenannte Whitelists (Listen von Verarbeitungsvorgängen, die nicht DSFA-pflichtig sind) verzichten viele Aufsichtsbehörden, da praktisch jeder Vorgang je nach Kontext risikoreich werden kann. Stattdessen gilt der Grundsatz der Einzelfallprüfung: Für jede neue Verarbeitung sollte das Risiko individuell eingeschätzt werden.

Wann muss eine Schwellwertanalyse durchgeführt werden?

In allen anderen Fällen, in denen keine eindeutige Verpflichtung feststeht, ist die Schwellwertanalyse das Mittel der Wahl, um zu entscheiden, ob eine DSFA nötig ist. Als Richtschnur hat die Artikel-29-Datenschutzgruppe (heute der EDSA) neun Kriterien definiert, die Indikatoren für ein hohes Risiko darstellen. In der Regel deutet die Kombination von mindestens zwei dieser Kriterien darauf hin, dass eine DSFA durchzuführen ist. Diese Kriterien umfassen unter anderem:

  • Automatisierte Entscheidungen mit Rechtswirkung oder ähnlicher erheblicher Auswirkung,
  • Systematische Überwachung (besonders wenn heimlich oder in großem Umfang),
  • Verarbeitung sensibler Daten oder strafrechtlicher Daten (Art. 9 und 10 DSGVO) – insbesondere, wenn umfangreich,
  • Datenverarbeitung in großem Umfang (viele Betroffene, große Datenmengen, langer Zeitraum, weite räumliche Ausdehnung),
  • Zusammenführen von Datensätzen aus verschiedenen Quellen, die der Betroffene ursprünglich für unterschiedliche Zwecke bereitgestellt hat,
  • Daten über besonders schutzbedürftige Personen (z.B. Kinder, Patienten, Mitarbeiter in Abhängigkeitsverhältnissen),
  • Einsatz neuartiger oder innovativer Technologien oder Verfahren (z.B. KI-Systeme, Tracking-Technologien),
  • Verarbeitungsvorgänge, die Betroffenen an der Ausübung ihrer Rechte hindern oder sie von einer Leistung ausschließen (z.B. ein Scoring, das über Zugang zu einem Dienst entscheidet).


Treffen mehrere dieser Risikofaktoren zu, ist die Schwelle zum hohen Risiko meist überschritten. In der Praxis empfehlen Aufsichtsbehörden bei Unsicherheit eher proaktiv eine DSFA durchzuführen, insbesondere wenn qualitativ bedeutsame Risiken erkennbar sind. Es ist besser, frühzeitig eine Folgenabschätzung aufzusetzen, als das Risiko eines Datenschutzverstoßes einzugehen. Wichtig: Eine DSFA muss immer vor Beginn der risikoreichen Verarbeitung abgeschlossen sein (vgl. Art. 35 Abs. 1 DSGVO – „vorab durchzuführen“). Daher sollte die Schwellwertanalyse bereits in der Planungsphase neuer Projekte stattfinden.

Wie führt man eine Schwellwertanalyse praktisch durch?

Die Durchführung einer Schwellwertanalyse erfolgt strukturiert in mehreren Schritten. Datenschutz- und Compliance-Verantwortliche können sich dabei an folgenden praxisbewährten Vorgehensweisen orientieren:

Schritt 1: Beschreibung der Verarbeitung und Rahmenbedingungen

Zunächst wird der geplante Verarbeitungsvorgang möglichst konkret beschrieben: Welche Daten werden von wem, wo, wie und zu welchem Zweck verarbeitet? Diese Beschreibung sollte mit dem Verzeichnis der Verarbeitungstätigkeiten abgeglichen werden. Wichtig ist auch die Dokumentation der Rechtsgrundlage (Art. 6 DSGVO, ggf. Art. 9 DSGVO für besondere Daten) und der Zweckbindung der Datenverarbeitung. Ohne tragfähige Rechtsgrundlage darf die Verarbeitung gar nicht erfolgen – in einem solchen Fall erübrigt sich die DSFA, weil das Vorhaben ohnehin unzulässig wäre.

Schritt 2: Vorab-Check auf offensichtliche Ausnahmen oder Pflichten

Anschließend prüft man, ob eine Ausnahmeregelung greift oder eine klare DSFA-Pflicht bereits feststeht. In manchen Ländern (z.B. Österreich) gibt es eine White-List-Verordnung, die bestimmte Verarbeitungen von der DSFA-Pflicht ausnimmt. Ist eine solche Ausnahme anwendbar, kann die Schwellwertanalyse hier enden. Der Vorgang ist dann zu dokumentieren (inkl. Verweis auf die Ausnahme) und eine DSFA ist nicht nötig. Umgekehrt: Steht die Verarbeitung auf einer offiziellen Black-List (Pflichtliste), kann man direkt mit der DSFA beginnen und die Schwellwertanalyse dient nur noch zur Dokumentation des hohen Risikos. In allen anderen Fällen geht es weiter mit der detaillierten Risiko-Einschätzung.

Schritt 3: Systematische Bewertung von Risikokriterien

Jetzt beurteilt man die geplante Verarbeitung anhand eines Kriterienkatalogs auf mögliche hohe Risiken. Viele Organisationen verwenden hierfür Checklisten oder Fragenkataloge, die die vom EDSA empfohlenen Kriterien sowie weitere praxisrelevante Aspekte abdecken. Typische Leitfragen in einer Schwellwertanalyse sind zum Beispiel:

  • Werden persönliche Aspekte von Betroffenen bewertet oder Profile erstellt? (Stichwort Profiling)
  • Werden automatisierte Entscheidungen getroffen, die rechtliche Wirkung oder ähnlich erhebliche Folgen haben?
  • Findet eine systematische Überwachung statt – etwa durch Tracking oder Videoüberwachung?
  • Verarbeiten wir besondere Kategorien personenbezogener Daten (z.B. Gesundheit, Religion, sexuelle Orientierung) oder strafrechtliche Daten – und das vielleicht in großem Umfang?
  • Werden Daten in großem Umfang verarbeitet (viele Personen, große Datenmengen, lange Speicherdauer, breite geografische Abdeckung)?
  • Werden Datensätze aus unterschiedlichen Quellen zusammengeführt, sodass Betroffene dies nicht erwarten?
  • Betrifft die Verarbeitung schutzbedürftige Personen? (Kinder, Beschäftigte, Patienten usw., die in einem Machtungleichgewicht zum Verantwortlichen stehen)
  • Kommen neue Technologien oder innovative Verfahren zum Einsatz, deren Auswirkungen noch ungewiss sind? (z.B. KI, Big Data Analytics, IoT)
  • Kann die Verarbeitung dazu führen, dass Betroffene an der Ausübung ihrer Rechte gehindert oder von einer Dienstleistung ausgeschlossen werden? (etwa Scoring, das über eine Vertragsdurchführung entscheidet)


Jede dieser Fragen zielt auf einen möglichen Risiko-Aspekt. Für jede Frage sollte nachvollziehbar dokumentiert werden, ob sie mit „Ja“ (trifft zu) oder „Nein“ beantwortet wird und warum. Bereits ein einziges „Ja“ bei einer der Kernfragen (z.B. Bewertung persönlicher Aspekte, Verarbeitung sensibler Daten oder Überwachung öffentlicher Bereiche) kann ausreichen, um eine DSFA-Pflicht anzunehmen. Insbesondere wenn es um sehr weitreichende Eingriffe geht, sollte man im Zweifel eher zur DSFA tendieren. In vielen Fällen sind jedoch mehrere bejahte Kriterien der Hinweis darauf, dass das Gesamtrisiko hoch ist.

Schritt 4: Gesamtrisikobewertung und Entscheidung

Im Anschluss wird das Gesamtrisiko der geplanten Verarbeitung abgeschätzt. Hier fließen die Ergebnisse der einzelnen Kriterien zusammen. Analog zu klassischen Risikoanalysen kann man eine Risikomatrix nutzen, um Eintrittswahrscheinlichkeit und Schadensausmaß miteinander zu bewerten. Wichtig ist, diese Bewertung objektiv und begründet vorzunehmen (vgl. Erwägungsgrund 76 DSGVO fordert eine Bewertung anhand objektiver Kriterien). Kommt die Schwellwertanalyse zu dem Schluss, dass kein hohes Risiko vorliegt, hält man dies schriftlich fest. In diesem Fall ist keine DSFA erforderlich und der Prozess kann regulär (unter Beachtung aller anderen DSGVO-Vorgaben) gestartet werden. Gelangt man jedoch zur Einschätzung, dass ein hohes Risiko wahrscheinlich vorliegt, sollte unverzüglich eine DSFA durchgeführt werden. Die Schwellwertanalyse mündet dann in die Empfehlung bzw. Verpflichtung, eine Datenschutz-Folgenabschätzung aufzusetzen.

Schritt 5: Dokumentation der Ergebnisse

Transparenz und Nachweisbarkeit sind auch hier essenziell: Jede Schwellwertanalyse sollte schriftlich dokumentiert werden. Selbst wenn sie zum Ergebnis hat, dass keine DSFA nötig ist. Die Aufsichtsbehörde oder der Datenschutzbeauftragte muss nachvollziehen können, wie der Verantwortliche die Entscheidung getroffen hat. Deshalb gehört zur Dokumentation mindestens: eine Beschreibung der Tätigkeit, das geprüfte Kriterien-Set, die Antworten/Bewertungen und die Schlussfolgerung mit Begründung. Eine sauber dokumentierte Schwellwertanalyse zeigt im Falle einer Prüfung, dass der Verantwortliche seine Pflicht zur Risikoabwägung ernst genommen hat.

Praxis-Tipp: Nutzen Sie vorhandene Hilfsmittel. Viele Aufsichtsbehörden und Datenschutz-Organisationen stellen Checklisten, Prüfschemata oder Tools für Schwellwertanalysen bereit. So bietet z.B. die LfD Niedersachsen ein ausführliches Prüfschema mit Checkliste an, und auch von der Datenschutzstelle Liechtenstein gibt es eine frei verfügbare Excel-Checkliste. Solche Ressourcen können als Grundlage dienen, sollten aber stets an die spezifischen Umstände Ihres Unternehmens angepasst werden.

Wie integriert man die Schwellwertanalyse in die Datenschutz-Organisation?

Damit Schwellwertanalysen und DSFA im Unternehmensalltag wirksam werden, sollten sie in die bestehenden Prozesse und Strukturen eingebettet sein.

Frühzeitige Einbindung und feste Prozesse: Etablieren Sie klare interne Prozessschritte, die bei neuen Projekten oder Prozessänderungen automatisch einen Datenschutz-Check anstoßen. Beispielsweise kann in Ihrem Projektmanagement vorgesehen sein, dass vor dem Go-Live eines neuen IT-Systems der Datenschutzbeauftragte eingebunden wird und eine Schwellwertanalyse durchgeführt werden muss. Verantwortlicher und Datenschutzbeauftragter sollten diese Analyse idealerweise gemeinsam durchführen. Schulen Sie Fachabteilungen dahingehend, neue Datenverarbeitungen früh an das Datenschutz-Team zu melden.

Dokumentation und Nachweisführung: Behandeln Sie die Dokumentation der Schwellwertanalyse mit der gleichen Sorgfalt wie andere DSGVO-Dokumentationen (Verarbeitungsverzeichnis, TOMs etc.). Legen Sie fest, wo die ausgefüllten Analysen abgelegt werden (z.B. in Ihrem Datenschutz-Management-Tool) und wer freigabeberechtigt ist. Achten Sie darauf, dass jede Analyse einen Zeitstempel, Angaben zum Prüfer (z.B. DSB) und eine klare Entscheidung (DSFA erforderlich: Ja/nein + Begründung) enthält. Diese Dokumente können bei Audits oder Anfragen der Aufsichtsbehörde Ihren konformen Entscheidungsprozess untermauern.

Maßnahmenableitung und Monitoring: Eine Schwellwertanalyse sollte nie Selbstzweck sein. Ziehen Sie Konsequenzen aus den Ergebnissen: Wenn keine DSFA erforderlich ist, aber dennoch erhöhte Risiken identifiziert wurden (wenn auch unterhalb der „hohen“ Schwelle), überlegen Sie, ob schon präventiv Schutzmaßnahmen umgesetzt werden können. Wenn eine DSFA durchgeführt wurde, verfolgen Sie die dort definierten Maßnahmen nach und prüfen Sie deren Wirksamkeit. Das Risikomanagement ist dynamisch: Überwachen Sie daher laufend, ob sich bei der betreffenden Verarbeitung etwas ändert, was eine neue Risikoeinschätzung nötig macht. Beispielsweise könnten technologische Änderungen (neue Tools, KI-Einsatz), Änderungen im Datenverkehr (etwa Übermittlung in Drittländer nach neuen Gerichtsurteilen wie Schrems II) oder neue Zwecke der Verarbeitung ein ehemals moderates Risiko deutlich erhöhen. In solchen Fällen ist es ratsam, die Schwellwertanalyse zu aktualisieren oder erneut durchzuführen.

Mit Ailance DSFA Schwellwertanalyse erstellen

Die Schwellwertanalyse ist ein praktisches Werkzeug, um den risikobasierten Ansatz der DSGVO im Alltag umzusetzen. Sie hilft Datenschutzbeauftragten und Compliance-Verantwortlichen, begrenzt Ressourcen auf die wirklich kritischen Verarbeitungsvorgänge zu fokussieren. Durch frühzeitiges Erkennen potentieller Risiken und rechtzeitige Durchführung einer DSFA lassen sich Datenschutzverstöße proaktiv verhindern. Je höher das Datenschutz-Risiko, desto umfassender sollten die Schutzmaßnahmen sein. Die Schwellwertanalyse stellt sicher, dass kein hohes Risiko unbemerkt bleibt. In der Summe trägt sie wesentlich dazu bei, Datenschutz praktikabel und nachweisbar zu machen, im Sinne eines vorsorgenden Grundrechtsschutzes für die Betroffenen.

Tipp zum Schluss: Eine Schwellwertanalyse lässt sich mit unserem Tool Ailance DSFA schnell und strukturiert durchführen. Das intuitive System führt Sie Schritt für Schritt durch die Bewertung Ihrer Verarbeitungsvorgänge – inklusive Risikoeinschätzung, automatischer Dokumentation und Anbindung an DSFA-Prozesse. Wir stellen Ihnen die Funktionen gerne in einem persönlichen Gespräch vor. Auf der Produktseite von Ailance DSFA finden Sie weitere Informationen.

Kontakt aufnehmen
Tags:
, ,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge