Datenschutz-Folgenabschätzung-Kriterienliste

Auch: DSFA-Muss-Liste · Positivliste DSFA · Negativliste DSFA

Die Kriterienliste zur Datenschutz-Folgenabschätzung ist eine amtliche Auflistung der deutschen Datenschutzaufsichtsbehörden, in der konkrete Arten von Verarbeitungsvorgängen benannt werden, für die eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend ist ("Muss-Liste") beziehungsweise ausdrücklich nicht erforderlich ist ("Kann-entfallen-Liste"). Sie dient Unternehmen – auch Maklerbüros – als praktische Orientierungshilfe.

Ausführliche Erklärung

Da der Gesetzestext in Art. 35 Abs. 1 DSGVO mit dem unbestimmten Rechtsbegriff "voraussichtlich hohes Risiko" arbeitet, verpflichtet Art. 35 Abs. 4 DSGVO jede Aufsichtsbehörde, eine Liste von Verarbeitungsvorgängen zu veröffentlichen, für die eine DSFA zwingend durchzuführen ist. Nach Art. 35 Abs. 5 DSGVO können die Behörden zusätzlich eine Liste veröffentlichen, bei der keine DSFA erforderlich ist. In Deutschland haben die Landesdatenschutzbehörden – häufig koordiniert über die Datenschutzkonferenz (DSK) – entsprechende Positiv- und Negativlisten veröffentlicht.

Für Maklerunternehmen praxisrelevante Beispiele aus solchen Listen sind unter anderem Verarbeitungen, die:

  • Umfangreiches Scoring oder Profiling von Kunden mit rechtlicher oder ähnlich bedeutsamer Wirkung beinhalten (z. B. automatisierte Bonitäts- oder Zuverlässigkeitsbewertung bei der Wohnungsvergabe).
  • Systematische, umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche vorsehen.
  • Große Mengen besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeiten, etwa Gesundheitsdaten im großen Stil bei spezialisierten Wohnraumvermittlungen.
  • Neue Technologien in großem Umfang einsetzen, deren Risiken noch nicht hinreichend erprobt sind (z. B. KI-gestützte Bewertungs- oder Matching-Algorithmen).

Für den einzelnen Makler ist die Kriterienliste vor allem als Prüfschritt vor der Einführung neuer Software oder neuer Geschäftsprozesse relevant: Bevor ein CRM-System mit automatisiertem Scoring, eine neue Videoüberwachungsanlage im Verkaufsbüro oder ein KI-gestütztes Matching-Tool eingeführt wird, sollte geprüft werden, ob der Vorgang auf der Muss-Liste der zuständigen Landesdatenschutzbehörde steht. Ist dies der Fall, ist die Durchführung einer DSFA nicht optional, sondern zwingend vorgeschrieben – ihr Fehlen stellt einen eigenständigen, bußgeldbewehrten Verstoß dar (Art. 83 Abs. 4 lit. a DSGVO).

Beispiel aus der Praxis

Ein Maklerunternehmen plant die Einführung einer KI-gestützten Software, die Mietbewerber anhand automatisiert ausgewerteter Einkommens- und Bonitätsdaten in eine Rangliste einordnet. Ein Blick in die Muss-Liste der zuständigen Landesdatenschutzbehörde zeigt, dass "automatisiertes Profiling mit Entscheidungswirkung für Betroffene" ausdrücklich aufgeführt ist – das Unternehmen muss daher vor dem Start eine Datenschutz-Folgenabschätzung durchführen.

Rechtsgrundlage

  • Art. 35 Abs. 4 DSGVO – Pflicht der Aufsichtsbehörde zur Veröffentlichung einer Liste DSFA-pflichtiger Verarbeitungen.
  • Art. 35 Abs. 5 DSGVO – Möglichkeit der Aufsichtsbehörde, ergänzend eine Liste nicht DSFA-pflichtiger Verarbeitungen zu veröffentlichen.

Verwandte Begriffe