Datenschutz-Folgenabschätzung

Auch: DSFA · Art. 35 DSGVO · Privacy Impact Assessment

Die Datenschutz-Folgenabschätzung (DSFA) ist eine vorab durchzuführende Risikoanalyse, mit der ein Makler prüfen muss, ob eine geplante Datenverarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der Betroffenen führt – und welche Maßnahmen dieses Risiko verringern. Sie ist nur bei bestimmten, besonders sensiblen Verarbeitungen verpflichtend.

Ausführliche Erklärung

Für die meisten alltäglichen Maklertätigkeiten (Exposé-Versand, Besichtigungstermine, klassische Kaufvertragsabwicklung) ist keine DSFA erforderlich. Relevant wird sie erst bei Verarbeitungen, die aufgrund ihrer Art, ihres Umfangs oder ihres Zwecks "voraussichtlich ein hohes Risiko" bergen (Art. 35 Abs. 1 DSGVO). In der Immobilienpraxis kommen folgende Konstellationen infrage:

  • Umfangreiches Bewerber- oder Kunden-Scoring mithilfe von Software, die automatisiert Bonität, Zahlungsfähigkeit oder Zuverlässigkeit von Miet- oder Kaufinteressenten bewertet.
  • Systematische Videoüberwachung öffentlich zugänglicher Bereiche, etwa bei Musterhäusern, Verkaufsbüros oder Besichtigungen mit Kamera-Dokumentation.
  • Großflächige Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO, z. B. Gesundheitsdaten bei der Vermittlung barrierefreien Wohnraums in größerem Umfang.
  • Systematische, umfangreiche Profilbildung von Interessenten für automatisiertes Objekt-Matching mit weitreichenden Konsequenzen.

Ablauf einer DSFA nach Art. 35 Abs. 7 DSGVO:

1. Systematische Beschreibung der Verarbeitungsvorgänge und der verfolgten Zwecke.

2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung.

3. Risikobewertung für die Rechte und Freiheiten der Betroffenen (Eintrittswahrscheinlichkeit und Schwere).

4. Abhilfemaßnahmen, um die Risiken zu adressieren (technische und organisatorische Maßnahmen, Garantien, Sicherheitsvorkehrungen).

Ergibt die DSFA trotz Abhilfemaßnahmen ein verbleibendes hohes Risiko, muss der Makler vor Beginn der Verarbeitung die zuständige Datenschutzaufsichtsbehörde konsultieren (Art. 36 DSGVO). Ist ein Datenschutzbeauftragter bestellt, ist dessen Rat bei der Durchführung der DSFA einzuholen (Art. 35 Abs. 2 DSGVO). Die Aufsichtsbehörden veröffentlichen sogenannte Muss-Listen (siehe Datenschutz-Folgenabschätzung-Kriterienliste), die konkretisieren, welche Verarbeitungen zwingend eine DSFA erfordern.

Beispiel aus der Praxis

Ein größeres Maklerunternehmen führt eine Software ein, die Mietinteressenten anhand von Einkommens-, SCHUFA- und Verhaltensdaten automatisiert in eine Rangfolge für die Vergabe von Wohnungen bringt. Da hier ein systematisches Scoring mit erheblichen Auswirkungen auf die Betroffenen (Zugang zu Wohnraum) vorliegt, muss das Unternehmen vor Einführung der Software eine Datenschutz-Folgenabschätzung durchführen und dokumentieren.

Rechtsgrundlage

  • Art. 35 DSGVO – Pflicht zur Datenschutz-Folgenabschätzung bei voraussichtlich hohem Risiko, mit Ablaufvorgaben.
  • Art. 36 DSGVO – Pflicht zur vorherigen Konsultation der Aufsichtsbehörde bei verbleibendem hohem Risiko.

Verwandte Begriffe