DSFA-Schwellwertprüfer

Die Schwellwertprüfung („Schwellwertanalyse", englisch threshold assessment) beantwortet die Vorfrage, ob eine DSFA durchgeführt werden muss. Sie ist nicht zu verwechseln mit der DSFA selbst (Art. 35 Abs. 7 DSGVO), in der die Risiken bewertet und Abhilfemaßnahmen festgelegt werden. Der Wizard bildet die Prüfreihenfolge der Aufsichtsbehörden und der EDSA-Leitlinien WP 248 (überarbeitete Fassung vom 04.10.2017) ab:

1. Schritt 1 – Muss-Liste (Black-List): Liegt die Verarbeitung auf der Liste nach Art. 35 Abs. 4 DSGVO, für die eine DSFA zwingend durchzuführen ist? Für öffentliche Stellen in Sachsen-Anhalt ist primär die Muss-Liste der Landesbeauftragten für den Datenschutz Sachsen-Anhalt (LfD LSA) maßgeblich; ergänzend werden die DSK-Liste vom 17.10.2018 (für den nicht-öffentlichen Bereich) und die BfDI-Liste herangezogen. Wenn ja: DSFA erforderlich, weitere Prüfung entbehrlich.
2. Schritt 2 – White-List: Liegt die Verarbeitung auf der Liste nach Art. 35 Abs. 5 DSGVO, für die keine DSFA erforderlich ist? Wenn ja: DSFA entbehrlich, jedoch Schwellwertprüfung dokumentieren.
3. Schritt 3 – Regelfälle Art. 35 Abs. 3 DSGVO: Greift einer der drei gesetzlichen Regelfälle (lit. a–c) – systematische und umfassende Bewertung persönlicher Aspekte (Profiling mit Rechtswirkung), umfangreiche Verarbeitung besonderer Datenkategorien oder strafrechtlich relevanter Daten, systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche? Bereits ein Treffer macht die DSFA verpflichtend.
4. Schritt 4 – Neun EDSA-Kriterien: Bewertung der Verarbeitung anhand der neun Kriterien aus WP 248 (Bewertung/Scoring, automatisierte Entscheidung mit Rechtswirkung, systematische Überwachung, sensible Daten oder Daten höchstpersönlicher Natur, Verarbeitung im großen Umfang, Verknüpfung von Datensätzen, Daten schutzbedürftiger Betroffener, innovative Nutzung, Ausschluss eines Rechts oder einer vertraglichen Leistung). Nach der Faustregel der Art.-29-Datenschutzgruppe (WP 248 rev. 01, S. 11) ist bei zwei oder mehr erfüllten Kriterien regelmäßig vom Vorliegen eines hohen Risikos auszugehen, soweit keine entgegenstehenden Anhaltspunkte vorliegen.
5. Schritt 5 – Einzelfallbewertung: Auch wenn keine behördliche Liste, kein Regelfall und höchstens ein EDSA-Kriterium greift, kann sich aus den Umständen des Einzelfalls ein hohes Risiko ergeben (Maßstab: ErwGr 75, 76, 91 DSGVO; methodisch SDM v3.1 oder BSI-Standard 200-3). Ergebnis und Workpaper: drei mögliche Ausgänge – DSFA erforderlich, DSFA empfohlen oder DSFA entbehrlich. In allen Fällen wird die Schwellwertprüfung nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) dokumentiert.

1. Verfahren benennen: Tragen Sie eine eindeutige Bezeichnung der geplanten Verarbeitung ein (z. B. „Lernanalyse-Plattform Modul X, Sommersemester 2026"). Der Name erscheint später im Workpaper.
2. Schritte 1 und 2 (Listen): Beantworten Sie die Muss-Liste- und White-List-Frage mit „Ja" oder „Nein". Hilfetexte mit Direktverweis auf die jeweilige Liste der Aufsichtsbehörde sind eingebettet.
3. Schritt 3 – Regelfälle: Kreuzen Sie die zutreffenden Regelfälle nach Art. 35 Abs. 3 lit. a–c DSGVO an. Bereits ein Treffer macht die DSFA verpflichtend.
4. Schritt 4 – Kriterienliste: Kreuzen Sie alle erfüllten EDSA-Kriterien an. Pro Kriterium können Sie eine Begründung als Freitext ergänzen; diese wird im Workpaper als Begründungsbaustein übernommen.
5. Schritt 5 – Einzelfall: Falls keine Liste und kein Regelfall greift und höchstens ein EDSA-Kriterium erfüllt ist, erfolgt eine abschließende Einzelfallbewertung anhand der ErwGr 75, 76, 91 DSGVO.
6. Ergebnis prüfen: Der Wizard zeigt die Empfehlung an. Bei „DSFA erforderlich" erscheint der Hinweis auf die Pflichtinhalte einer DSFA nach Art. 35 Abs. 7 DSGVO sowie auf die Konsultationspflicht nach Art. 36 DSGVO bei verbleibendem hohen Risiko.
7. Workpaper erzeugen: Klick auf „Druckansicht" erzeugt ein zweispaltiges Workpaper mit allen Eingaben, Datum, Verfahrensname und Begründungstext. Das Workpaper kann als PDF gespeichert oder direkt gedruckt werden und ist als Anlage zum Verarbeitungsverzeichnis geeignet.

Datenverarbeitung: Sämtliche Eingaben werden ausschließlich lokal im Browser verarbeitet (localStorage für Wiederaufnahme, kein Server-Roundtrip). Es findet keine Übermittlung an Anbieter, Tracker oder Analyse-Dienste statt.

• Art. 35, 36 DSGVO (Verordnung (EU) 2016/679)
• EDSA/Art.-29-Datenschutzgruppe, WP 248 rev. 01 vom 04.10.2017 („Guidelines on Data Protection Impact Assessment")
• Muss-Liste der Landesbeauftragten für den Datenschutz Sachsen-Anhalt (LfD LSA) für den öffentlichen Bereich
• DSK, Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO, Stand 17.10.2018 (nicht-öffentlicher Bereich)
• SDM v3.1 der Datenschutzkonferenz (DSK), Mai 2024
• Vertiefende Themenseite: Datenschutz-Folgenabschätzung (DSFA)