Datenschutz-Folgenabschätzung-Kriterienliste
Auch: DSFA-Muss-Liste · Positivliste DSFA · Negativliste DSFA
Die Kriterienliste zur Datenschutz-Folgenabschätzung ist eine amtliche Auflistung der deutschen Datenschutzaufsichtsbehörden, in der konkrete Arten von Verarbeitungsvorgängen benannt werden, für die eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend ist ("Muss-Liste") beziehungsweise ausdrücklich nicht erforderlich ist ("Kann-entfallen-Liste"). Sie dient Unternehmen – auch Maklerbüros – als praktische Orientierungshilfe.
Ausführliche Erklärung
Da der Gesetzestext in Art. 35 Abs. 1 DSGVO mit dem unbestimmten Rechtsbegriff "voraussichtlich hohes Risiko" arbeitet, verpflichtet Art. 35 Abs. 4 DSGVO jede Aufsichtsbehörde, eine Liste von Verarbeitungsvorgängen zu veröffentlichen, für die eine DSFA zwingend durchzuführen ist. Nach Art. 35 Abs. 5 DSGVO können die Behörden zusätzlich eine Liste veröffentlichen, bei der keine DSFA erforderlich ist. In Deutschland haben die Landesdatenschutzbehörden – häufig koordiniert über die Datenschutzkonferenz (DSK) – entsprechende Positiv- und Negativlisten veröffentlicht.
Für Maklerunternehmen praxisrelevante Beispiele aus solchen Listen sind unter anderem Verarbeitungen, die:
- Umfangreiches Scoring oder Profiling von Kunden mit rechtlicher oder ähnlich bedeutsamer Wirkung beinhalten (z. B. automatisierte Bonitäts- oder Zuverlässigkeitsbewertung bei der Wohnungsvergabe).
- Systematische, umfangreiche Videoüberwachung öffentlich zugänglicher Bereiche vorsehen.
- Große Mengen besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeiten, etwa Gesundheitsdaten im großen Stil bei spezialisierten Wohnraumvermittlungen.
- Neue Technologien in großem Umfang einsetzen, deren Risiken noch nicht hinreichend erprobt sind (z. B. KI-gestützte Bewertungs- oder Matching-Algorithmen).
Für den einzelnen Makler ist die Kriterienliste vor allem als Prüfschritt vor der Einführung neuer Software oder neuer Geschäftsprozesse relevant: Bevor ein CRM-System mit automatisiertem Scoring, eine neue Videoüberwachungsanlage im Verkaufsbüro oder ein KI-gestütztes Matching-Tool eingeführt wird, sollte geprüft werden, ob der Vorgang auf der Muss-Liste der zuständigen Landesdatenschutzbehörde steht. Ist dies der Fall, ist die Durchführung einer DSFA nicht optional, sondern zwingend vorgeschrieben – ihr Fehlen stellt einen eigenständigen, bußgeldbewehrten Verstoß dar (Art. 83 Abs. 4 lit. a DSGVO).
Beispiel aus der Praxis
Ein Maklerunternehmen plant die Einführung einer KI-gestützten Software, die Mietbewerber anhand automatisiert ausgewerteter Einkommens- und Bonitätsdaten in eine Rangliste einordnet. Ein Blick in die Muss-Liste der zuständigen Landesdatenschutzbehörde zeigt, dass "automatisiertes Profiling mit Entscheidungswirkung für Betroffene" ausdrücklich aufgeführt ist – das Unternehmen muss daher vor dem Start eine Datenschutz-Folgenabschätzung durchführen.
Rechtsgrundlage
- Art. 35 Abs. 4 DSGVO – Pflicht der Aufsichtsbehörde zur Veröffentlichung einer Liste DSFA-pflichtiger Verarbeitungen.
- Art. 35 Abs. 5 DSGVO – Möglichkeit der Aufsichtsbehörde, ergänzend eine Liste nicht DSFA-pflichtiger Verarbeitungen zu veröffentlichen.