DSFA-Schwellwertprüfer

Die Schwellwertprüfung („Schwellwertanalyse", englisch threshold assessment) beantwortet die Vorfrage, ob eine DSFA durchgeführt werden muss. Sie ist nicht zu verwechseln mit der DSFA selbst (Art. 35 Abs. 7 DSGVO), in der die Risiken bewertet und Abhilfemaßnahmen festgelegt werden. Der Wizard bildet die Prüfreihenfolge der Aufsichtsbehörden und der EDSA-Leitlinien WP 248 (überarbeitete Fassung vom 04.10.2017) ab:

1. Schritt 1 – Black-List: Liegt die Verarbeitung auf der Liste der Verarbeitungsvorgänge, für die nach Art. 35 Abs. 4 DSGVO eine DSFA zwingend durchzuführen ist? Für öffentliche Stellen in Sachsen-Anhalt ist primär die Muss-Liste der Landesbeauftragten für den Datenschutz Sachsen-Anhalt (LfD LSA) maßgeblich; ergänzend werden die DSK-Liste vom 17.10.2018 (für den nicht-öffentlichen Bereich) und die BfDI-Liste herangezogen. Wenn ja: DSFA erforderlich, weitere Prüfung entbehrlich.
2. Schritt 2 – White-List: Liegt die Verarbeitung auf der Liste nach Art. 35 Abs. 5 DSGVO, für die keine DSFA erforderlich ist? Wenn ja: DSFA entbehrlich, jedoch Schwellwertprüfung dokumentieren.
3. Schritt 3 – Neun EDSA-Kriterien: Bewertung der Verarbeitung anhand der neun Kriterien aus WP 248 (Bewertung/Scoring, automatisierte Entscheidung mit Rechtswirkung, systematische Überwachung, sensible Daten oder Daten höchstpersönlicher Natur, Verarbeitung im großen Umfang, Verknüpfung von Datensätzen, Daten schutzbedürftiger Betroffener, innovative Nutzung, Ausschluss eines Rechts oder einer vertraglichen Leistung). Nach der Faustregel der Art.-29-Datenschutzgruppe (WP 248 rev. 01, S. 11) ist bei zwei oder mehr erfüllten Kriterien regelmäßig vom Vorliegen eines hohen Risikos auszugehen, soweit keine entgegenstehenden Anhaltspunkte vorliegen.
4. Schritt 4 – Ergebnis und Workpaper: Gesamtbewertung mit drei möglichen Ausgängen: DSFA erforderlich, DSFA empfohlen (bei einem erfüllten Kriterium oder Grenzfällen) oder DSFA entbehrlich. In allen Fällen wird die Schwellwertprüfung selbst nach Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht) dokumentiert.

1. Verfahren benennen: Tragen Sie eine eindeutige Bezeichnung der geplanten Verarbeitung ein (z. B. „Lernanalyse-Plattform Modul X, Sommersemester 2026"). Der Name erscheint später im Workpaper.
2. Schritte 1 und 2: Beantworten Sie pro Prüfschritt mit „Ja"/„Nein"/„Unklar". Bei „Unklar" liefert der Wizard kontextbezogene Hilfetexte mit Verweis auf die jeweilige Liste der Aufsichtsbehörde.
3. Schritt 3 – Kriterienliste: Kreuzen Sie alle erfüllten EDSA-Kriterien an. Pro Kriterium können Sie eine Begründung als Freitext ergänzen; diese wird im Workpaper als Begründungsbaustein übernommen.
4. Ergebnis prüfen: Der Wizard zeigt die Empfehlung an. Bei „DSFA erforderlich" erscheint der Hinweis auf die Pflichtinhalte einer DSFA nach Art. 35 Abs. 7 DSGVO sowie auf die Konsultationspflicht nach Art. 36 DSGVO bei verbleibendem hohen Risiko.
5. Workpaper erzeugen: Klick auf „Druckansicht" erzeugt ein zweispaltiges Workpaper mit allen Eingaben, Datum, Verfahrensname und Begründungstext. Das Workpaper kann als PDF gespeichert oder direkt gedruckt werden und ist als Anlage zum Verarbeitungsverzeichnis geeignet.

Datenverarbeitung: Sämtliche Eingaben werden ausschließlich lokal im Browser verarbeitet (localStorage für Wiederaufnahme, kein Server-Roundtrip). Es findet keine Übermittlung an Anbieter, Tracker oder Analyse-Dienste statt.

• Art. 35, 36 DSGVO (Verordnung (EU) 2016/679)
• EDSA/Art.-29-Datenschutzgruppe, WP 248 rev. 01 vom 04.10.2017 („Guidelines on Data Protection Impact Assessment")
• Muss-Liste der Landesbeauftragten für den Datenschutz Sachsen-Anhalt (LfD LSA) für den öffentlichen Bereich
• DSK, Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO, Stand 17.10.2018 (nicht-öffentlicher Bereich)
• SDM v3.1a der Datenschutzkonferenz (DSK), Mai 2024
• Vertiefende Themenseite: Datenschutz-Folgenabschätzung (DSFA)