CAFM: Datenschutz Folgenabschätzung (DPIA)

Die Schwellenprüfung („Schwellwertanalyse“) entscheidet, ob eine DSFA durchzuführen ist. Nach Art. 35 Abs. 3 DSGVO sind drei Risikoklassen genannt, bei denen stets DSFA-Pflicht besteht: - Systematische und umfassende automatisierte Auswertung personenbezogener Daten (Profiling), die rechtliche oder ähnlich erhebliche Folgen für Betroffene hat.

- Umfangreiche Verarbeitung von besonderen Kategorien personenbezogener Daten (z.B. Gesundheits-, Biometrie- oder Strafdaten) nach Art. 9 DSGVO.

- Groß angelegte systematische Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung, Gesichts­erkennung).

Aufsichtsbehörden (DSK, Bundesdatenschutzbeauftragter etc.) haben dazu länderspezifische Positivlisten (Schwarzlisten) veröffentlicht. Sie konkretisieren häufige Einzelfälle, bei denen unbedingt DSFA durchzuführen ist. So existieren für öffentliche Stellen und Unternehmen detaillierte Listen (z.B. Baden-Württemberg, Saarland, Schleswig-Holstein, Bayern u.v.m.) mit typischen Verarbeitungen wie biometrischen Zugangssystemen, flächendeckender Videoanalyse oder großem Personendaten-Abgleich. Diese Listen sind zwar nicht abschließend, sie zeigen aber exemplarisch, welche Nutzungsszenarien als hochriskant gelten. Auf der anderen Seite definieren Negativlisten (Weißlisten) Vorgänge mit geringem Risiko (freiwilligere Orientierung, z.B. Österreich) – aber für die Praxis gilt: Im Zweifel sollte die DSFA-Pflicht streng ausgelegt werden.

Großer Maßstab (viele Betroffene), neue Technologien (IoT, KI) und fehlende Erfahrungswerte steigern die Eintrittswahrscheinlichkeit hoher Schäden. Werden z.B. Daten mit Sicherheitsmängeln übertragen oder gehostet (Cloud außerhalb EU), so erhöht sich das Restrisiko. Oft ist bereits der Datenumfang („Big Data“) ein Indikator für eine DSFA.

• Vorprüfung (Screening): Zunächst wird anhand der Kriterien aus Art. 35 DSGVO und den Behördenschwellen geprüft, ob eine DSFA überhaupt erforderlich ist. Dabei werden Verarbeitungsbeschreibung und Zweck analysiert und mögliche Risikofaktoren identifiziert.

• Team und Zuständigkeiten: Ein Team aus Datenschutz, IT-Security, Fachbereich (Facility Management) und ggf. externen Experten wird gebildet. Der Verantwortliche (z.B. CAFM-Projektleitung) initiiert die DSFA. Der Datenschutzbeauftragte ist zu konsultieren. IT- und Betriebsexperten liefern technische Details und Prozesswissen.

• Detaillierte Prozessbeschreibung: Die geplanten Verarbeitungsvorgänge werden systematisch dokumentiert – u.a. welche Datenkategorien erfasst werden, welche Systeme und Schnittstellen beteiligt sind, und welche Betroffenen (Mitarbeiter, Besucher) vorliegen. Diese Beschreibung entspricht meist dem Verzeichnis der Verarbeitungstätigkeiten (Art.30 DSGVO) und bildet die Basis für die Risikoanalyse.

• Notwendigkeits- und Verhältnismäßigkeitsprüfung: Es wird bewertet, ob und in welchem Umfang die Verarbeitung zur Zielerreichung erforderlich ist (Privacy by Design/Default). Man prüft, ob der Zweck auf weniger risikobehaftete Weise erfüllt werden kann.

• Risikoidentifikation: Alle potenziellen Risiken für Betroffenenrechte (z.B. Überwachungswünsche, Datenmissbrauch, Diskriminierung) werden aufgeführt. Dabei werden Gefährdungen (z.B. unbefugte Nutzung, Profiling, Datenverlust) analysiert und die betroffenen Rechtsgüter (Recht auf informationelle Selbstbestimmung, Privatsphäre, etc.) berücksichtigt.

• Risiko-Bewertung: Die Eintrittswahrscheinlichkeit und Schadensschwere jedes Risikos werden bewertet (z.B. qualitativ Low/Mittel/Hoch oder in einer Risikomatrix). Nach bayerischer Aufsichtsbehörde gilt: Risiko wird aus „Schwere eines möglichen Schadens“ mal „Wahrscheinlichkeit des Eintretens“ ermittelt. Ziel ist es zu entscheiden, ob ein hohes Restrisiko verbleibt.

• Maßnahmenplanung: Zu jeder identifizierten Gefahr werden geeignete technische und organisatorische Abhilfemaßnahmen (TOM) festgelegt, um das Risiko zu mindern. Beispiele: Pseudonymisierung/Anonymisierung, Zugriffskontrollen, Verschlüsselung, Datenminimierung, Schulungen. Die Umsetzung der Maßnahmen muss zeitlich und organisatorisch geplant sein (verantwortliche Person, Fristen).

• DSFA-Bericht erstellen: Alle Erkenntnisse werden dokumentiert. Nach Vorgaben der Aufsichtsbehörden sollte der Bericht mindestens folgende Punkte enthalten: systematische Beschreibung der Verarbeitung und Zwecke, Bewertung von Notwendigkeit und Verhältnismäßigkeit, Risikoanalyse für die Rechte der Betroffenen, geplante Abhilfemaßnahmen sowie übrig bleibende Restrisiken und deren Handhabung. Eine Beispielgliederung ist weiter unten aufgeführt.

• Umsetzung und Test der Maßnahmen: Vor Inbetriebnahme der Verarbeitung müssen die geplanten TOM vollständig umgesetzt sein. Anschließend erfolgt ein Wirksamkeitstest der Maßnahmen. Wird dabei ein nicht ausreichend vermindertes Restrisiko festgestellt, sind weitere Maßnahmen zu definieren oder die Verarbeitung anzupassen.

• Freigabe und Abschluss: Nach Abschluss aller Prüfungen (und evtl. behördlicher Abstimmung) erfolgt die formale Freigabe der neuen Verarbeitung. Die vollständige DSFA-Dokumentation dient hier als Nachweis der DSGVO-Konformität. Eine abschließende Überprüfung (Audit) durch den DSB oder externe Prüfer kann erfolgen, um die ordnungsgemäße Durchführung zu bestätigen.

Erkenntnisse aus späteren Phasen (z.B. Umsetzungsschwierigkeiten) können Rückkopplungen erfordern und Anpassungen in der Beschreibung, Risikoanalyse oder Maßnahmenplanung nach sich ziehen.

Eine DSFA ist primär Verantwortung des Datenverantwortlichen (Verarbeiters). Dieser steuert den Prozess organisatorisch und entscheidet über Umfang und Durchführung.

Alle Beteiligten sollten in der DSFA klare Aufgaben und Kommunikationswege haben. Insbesondere muss die unternehmensinterne Freigabe (z.B. durch Management-Board oder Datenschutzvorstand) eingeholt werden, bevor riskante Verarbeitungsvorgänge umgesetzt werden.

• Einleitung / Projektbeschreibung: Vorstellung des Projekts/Vorhabens, Verantwortliche und Ziele der Verarbeitung.

• Verarbeitungsbeschreibung: Detaillierte Darstellung der geplanten Datenverarbeitung (Datenkategorien, Systeme, Prozesse, Zweck) – idealerweise ergänzt durch Ablaufdiagramme oder Datenflussdiagramme.

• Rechtsgrundlage und Notwendigkeit: Begründung der Rechtsgrundlage(n) und Prüfung, warum die Verarbeitung erforderlich und verhältnismäßig ist.

• Betroffene Personen und Datenarten: Identifikation der betroffenen Gruppen (Mitarbeiter, Externe, Besucher) und der sensiblen Daten, die betroffen sind.

• Risikoanalyse (Schadensauswirkung und Eintrittswahrscheinlichkeit): Auflistung potenzieller Risiken (z.B. Verlust von Vertraulichkeit, Profiling, unbefugte Weitergabe) und Bewertung ihrer Eintrittswahrscheinlichkeit bzw. Schwere (z.B. als niedrig, mittel, hoch).

• Relevante Rechts- und Freiheitsgüter: Darstellung, welche Betroffenenrechte tangiert sind (z.B. Recht auf informationelle Selbstbestimmung, Privatsphäre, Schutz vor Diskriminierung).

• Technische und organisatorische Maßnahmen (TOM): Ausführliche Beschreibung der geplanten Abhilfemaßnahmen für jedes Risiko. Beispiele sind Pseudonymisierung, Verschlüsselung, Zugriffskonzept, Logging, Schulungsmaßnahmen usw.

• Rest- und Übertragsrisiken: Bewertung der verbleibenden Restrisiken nach Maßnahmen und ggf. Entscheidung, ob weitere Prüfungen nötig sind oder ob eine Priorisierung stattfindet.

• Zusammenfassung und Schlussfolgerung: Fazit, ob die Risiken auf ein akzeptables Niveau reduziert wurden. Gegebenenfalls festhalten, ob eine Beratung der Aufsichtsbehörde nach Art. 36 notwendig ist.

• Freigabe und Unterschriften: Dokumentation von Freigabeschritten und Unterschriften (Verantwortlicher, DSB, ggf. Leitungsebene).

Diese Gliederung kann als Vorlage dienen; je nach Komplexität können weitere Abschnitte hinzukommen (z.B. organisatorisches Management, Audit-Plan). Wichtig ist, dass die DSFA transparent die gesamte Überprüfungskette nachvollziehbar macht. Die Datenschutzkonferenz (DSK) führt aus, der DSFA-Bericht müsse u.a. „die systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke, die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, [sowie] die Beschreibung und Beurteilung der Risiken und der Abhilfemaßnahmen zur Risikoeindämmung“ enthalten.

Die Risikobewertung erfolgt anhand zweier Dimensionen: der möglichen Schadensschwere und der Eintrittswahrscheinlichkeit des Schadensereignisses.

• Datenverlust / Datenmissbrauch: z.B. bei ungeschützter Cloud-Speicherung sensibler CAFM-Daten.

• Unbefugter Zugriff: z.B. durch unzureichende Zugriffsrechte oder fehlende Authentifizierung in Systemen.

• Profiling und Diskriminierung: z.B. Auswertung von Bewegungsdaten zur Leistungsüberwachung.

• Verletzung des Transparenzprinzips: wenn Nutzer nicht ausreichend über Datenflüsse informiert sind.

Für jedes Risiko wird die Schwere (von „gering“ bis „katastrophal“) und die Wahrscheinlichkeit („unwahrscheinlich“ bis „sehr wahrscheinlich“) eingeschätzt. Nach Art. 5 Abs. 2 DSGVO besteht eine Rechenschaftspflicht, daher müssen alle Annahmen nachvollziehbar dokumentiert werden. Nach bayerischer DSGVO-Stelle setzt sich das Risiko-„Level“ als Kombination aus Schadensausmaß und Eintrittswahrscheinlichkeit zusammen. Liegt das Ergebnis in der Kategorie „hoch“, so war die DSFA durchzuführen (oder entsprechend Maßnahmen zu verschärfen).

Betroffene Rechtsgüter sind typischerweise die informationelle Selbstbestimmung (Überwachung, Datensparsamkeit), die Privatsphäre (z.B. Persönlichkeitsrechte am Arbeitsplatz) und die Sicherheit der Daten (Schutz vor Datenverlust oder -manipulation). Auch indirekte Schäden wie Vertrauensverlust oder Reputationsschaden dürfen nicht vernachlässigt werden.

Zur Minderung der identifizierten Risiken definiert die DSFA technische und organisatorische Maßnahmen (TOM).

• Datenminimierung und Anonymisierung: Erhebung nur der absolut notwendigen Daten; Einsatz anonymer Sensoren oder Edge-Analytics, die lediglich aggregierte Zähler bereitstellen (z.B. Personenzählung ohne Bildaufzeichnung).

• Pseudonymisierung/Verschlüsselung: Personendaten nur pseudonym verwalten oder bei Speicherung/Verschlüsselung aufs höchste technisch mögliche Niveau gehen.

• Zugriffs- und Berechtigungskonzepte: Strikte Rollen- und Rechtemanagement-Systeme (Least-Privilege-Prinzip) in CAFM- und Safety-Systemen; Audit-Logs, wer auf personenbezogene Daten zugreift.

• Netzwerksegmentierung und IT-Security: Trennung von CAFM-/OT-Netz (Operational Technology) und generellem IT-Netz; Firewalls/VPN und Patch-Management für IoT-Komponenten.

• Benutzerinformation und Transparenz: Umfassende Information der Nutzer über die Datenverarbeitung; klare Einwilligungs- oder Hinweisverfahren (z.B. Beschilderung bei Kameras).

• Organisationale Maßnahmen: Schulungsprogramme für Mitarbeiter bzgl. Datenschutz im CAFM-Betrieb; Regelmäßige Reviews und Verantwortlichkeiten für die Datenpflege.

All diese Maßnahmen müssen dokumentiert und in die Betriebsprozesse eingepflegt sein. Bei IoT-Sensorik etwa wird ausdrücklich empfohlen, Privacy by Design zu implementieren: Beschäftigte werden über Sensor-Nutzung informiert, Datenströme werden anonymisiert und soweit möglich nur innerhalb der EU-Server verarbeitet. Solche Maßnahmen tragen entscheidend dazu bei, dass das Risiko auf ein akzeptables Niveau sinkt.

Die gesamte DSFA-Prozedur muss lückenlos dokumentiert werden. Dazu gehören das DSFA-Protokoll und alle Begründungen für Entscheidungen. Nach Abschluss sollte die DSFA zusammen mit Nachweisen (z.B. Testprotokollen für TOM) Teil der Verfahrensdokumentation sein. Gemäß Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) dient diese Dokumentation als Nachweis der Regelkonformität.

In der Praxis erfolgt meist ein formaler Freigabeprozess: Erst wenn alle identifizierten Maßnahmen umgesetzt und getestet sind, wird die Verarbeitung freigegeben. Dabei sollten alle Ergebnisberichte dem Management und – falls erforderlich – der Aufsichtsbehörde vorgelegt werden. Nach DSK-Empfehlung ist vor Aufnahme risikoreicher Verarbeitungen ggf. eine vorherige Konsultation (Art. 36 DSGVO) durchzuführen, falls Restrisiken bestehen bleiben. Erst nach Vollzug der Implementation-Tests und erfolgreichem Audit durch Datenschutz-/Sicherheitsbeauftragte darf das System produktiv in Betrieb gehen.

Während des gesamten Prozesses ist eine enge Kommunikation aller Stakeholder wichtig – von der IT bis zur Rechtsabteilung und zur Geschäftsführung. Entscheidungen des Verantwortlichen (z.B. Abweichungen von DSB-Vorschlägen) müssen im DSFA-Bericht erläutert werden. So wird sichergestellt, dass im Zweifelsfall die DSFA als internes Gutachten dem Weisungsgebot der DSGVO Genüge tut und im Audit standhält.

Die DSFA steht nicht isoliert: Sie sollte eng mit bestehenden Steuerungs- und Sicherheitsverfahren verknüpft werden. Beispielsweise können Risikobewertungen aus der DSFA in das unternehmensweite ISMS (ISO 27001 o. ä.) einfließen, sodass technische Sicherheitsmaßnahmen konsistent geplant werden. Auch das Datenschutzkonzept (inkl. Verarbeitungsverzeichnis und Löschkonzept) sollte die DSFA-Ergebnisse berücksichtigen.

Jede wesentliche Änderung am CAFM-System (neues Modul, geändertes Berechtigungskonzept, Migration in die Cloud) muss eine erneute Risikoabwägung anstoßen. Viele Unternehmen legen im Rahmen ihres Betriebs- oder IT-Change-Prozesses ein Standard-Template fest, das bei kritischen Änderungen zwingend eine DSFA-Dokumentation vorsieht. So wird sichergestellt, dass Datenschutzfragen nicht zu spät (etwa erst nach Produktivschaltung) geprüft werden.

• Vorlagen (Templates): Muster-DSFA in Form von Excel- oder Word-Dokumenten helfen, den Bericht systematisch zu gliedern. Einige Aufsichtsbehörden und Beratungsfirmen stellen solche Vorlagen kostenlos bereit. Auch Normen und Leitlinien (ISO 29134) liefern Gliederungsanregungen.

• Kostenfreie Tools: Die französische Datenschutzbehörde CNIL bietet z.B. ein kostenfreies, webbasiertes PIA-Tool (auf Deutsch verfügbar) zur schrittweisen Erstellung einer DSFA an. Solche Tools führen Nutzer durch die einzelnen Phasen der DSFA und erzeugen einen Dokumentationsreport.

• DSFA- und Datenschutzmanagement-Software: Kommerzielle Softwarelösungen integrieren DSFA-Funktionalität in umfassende Datenschutz-Management-Systeme. Beispiele sind Keyed, otris privacy, Proliance oder Compliance-OS-Plattformen. Sie bieten zumeist Workflow-Management, Risiko-Templates und Kollaborationsfunktionen, um die Beteiligten (Fachabteilung, Datenschutz, IT) zu koordinieren.

• Checklisten: Für manche Standardprozesse (z.B. Einführung eines Videoüberwachungssystems) haben Datenschutzaufsichten Checklisten publiziert, die Schritt für Schritt anleiten, welche Aspekte zu prüfen sind (wie bei §4d BDSG a.F. „Vorabkontrolle“).

Bei einfachen CAFM-Anpassungen reicht oft eine interne Vorlage. Bei komplexen, konzernweiten Rollouts empfiehlt sich der Einsatz spezialisierter Werkzeuge, die auch eine revisionssichere Dokumentation gewährleisten.

• Frühzeitig starten und iterieren: Bauen Sie die DSFA von Anfang an in das Projekt ein (z.B. bei Planung der CAFM-Einführung). So können datenschutzfreundliche Optionen (Privacy by Design) realisiert werden. Die Bewertung sollte regelmäßig aktualisiert werden – etwa wenn neue Module hinzugefügt werden.

• Abteilungsübergreifend arbeiten: Beziehen Sie IT-Sicherheit, Facility Management, Datenschutz und Legal von Anfang an ein. Klare Rollenverteilungen und Kommunikationswege verhindern Missverständnisse. Beispielsweise sollten Datenschutzverantwortliche (= DSB) früh beraten, ob überhaupt eine DSFA nötig ist und welche Methodik anzuwenden ist.

• Transparenz und Schulung: Informieren Sie die Nutzer (Mitarbeiter, Bewohner, Gäste) offen über die Datenverarbeitungen im CAFM. Regelmäßige Datenschutzschulungen sensibilisieren das Personal für Risiken im CAFM-Betrieb.

• Minimierung personenbezogener Daten: Verwenden Sie anonymisierte oder pseudonymisierte Erfassungsmethoden immer wenn möglich. So können hohe Risiken oft von vornherein vermieden. Beispielsweise ersetzt man Videoerfassung durch Infrarotsensorik oder zählt Personen nur statistisch.

• Dokumentation und Nachvollziehbarkeit: Halten Sie jeden Schritt schriftlich fest – sogar Abweichungen vom ursprünglichen Plan. Nur so lässt sich im Bedarfsfall der gesamte DSFA-Prozess lückenlos belegen. Ein klarer Versionsstand und Änderungsverfolgung sind ebenfalls empfehlenswert.

• Regelmäßige Überprüfung: Auch nach Abschluss der ersten DSFA sollte diese nicht in einem Ordner verschwinden. Veränderungen am CAFM (z.B. neue IoT-Gateways, Integration mit HR-Systemen) verlangen eine Aktualisierung der Risikobewertung. Einige Unternehmen verankern deshalb jährliche DSFA-Reviews im Datenschutzmanagement.

Durch diese Best Practices wird sichergestellt, dass CAFM-Projekte sowohl technologisch effizient als auch datenschutzkonform umgesetzt werden. Ein verantwortungsvolles Vorgehen in Bezug auf personenbezogene Daten ist inzwischen ein entscheidender Faktor für Vertrauen und Akzeptanz im Facility-Management.

• Projektbeschreibung: Hintergrund, Ziele, beteiligte Systeme/Anwendungen.

• Verarbeitungsbeschreibung: Detaillierte Auflistung der Datenflüsse (Personen­gruppen, Datenkategorien, Systeme) und Verarbeitungszwecke.

• Rechtliche Bewertung: Genutzte Rechtsgrundlage(n) und Prüfung von Erforderlichkeit/Verhältnismäßigkeit.

• Betroffene Personen und Daten: Identifikation der Personengruppen (Mitarbeiter, Besucher etc.) und sensibler Datenarten (z.B. Gesundheits- oder Biometriedaten).

• Risikoanalyse: Auflistung aller potenziellen Risiken für Betroffenenrechte mit Bewertung (Wahrscheinlichkeit, Schadensausmaß).

• Betroffene Rechtsgüter: Aufzählung der gefährdeten Grundrechte (z.B. informations­elle Selbstbestimmung, Privatsphäre, Diskriminierungsverbot).

• Abhilfemaßnahmen (TOM): Zu jedem Risiko Maßnahmen zur Eindämmung – z.B. Anonymisierung, Zugriffsbeschränkung, Verschlüsselung, Schulungen.

• Restrisiko: Bewertung des verbleibenden Risikos nach Maßnahmen und Schlussfolgerung, ob weiteres Handeln nötig ist.

• Zusammenfassung/Ergebnis: Gesamtbeurteilung, Entscheidung über Fortführung der Verarbeitung, ggf. Erfordernis einer Aufsichtsbehörden-Konsultation (Art. 36 DSGVO).

• Freigabe/Unterschrift: Dokumentation der Freigabe durch Verantwortlichen und ggf. DSB, Datum und Freigabestempel.

Diese Struktur kann mit weiterem Detail (z.B. Zeitplänen, Budget, Review-Plan) ergänzt werden, je nach Umfang des Projekts. Entscheidend ist, dass alle Schritte der DSFA lückenlos in der Dokumentation abgebildet sind.

Diese Matrix ist ein Beispiel, wie Risiken quantifiziert werden können. In der Praxis passen Teams die Skala und Schwellenwerte ihres Geschäftsmodells an. Wichtig ist, dass Eintrittswahrscheinlichkeit und Schadenshöhe dokumentiert werden, um Maßnahmen gezielt zu steuern.

CNIL bietet mit ihrem kostenlosen PIA-Tool eine schrittweise Online-Anleitung zur DSFA (auf Deutsch verfügbar). Es führt durch Beschreibung, Risikoanalyse und Maßnahmenplanung. Alternativ nutzen viele Unternehmen Excel-/Word-Vorlagen. Für umfassende Projekte gibt es kommerzielle Datenschutzmanagement-Systeme (z.B. Keyed, otris privacy, Robin Data), die Workflow-Unterstützung, Risikoübersichten und zentrale Dokumentenverwaltung bieten. Wichtig ist nur, dass das gewählte Tool die Anforderungen (Strukturierte Risikobewertung, Revisionssicherheit) erfüllt.

Erfolgsentscheidend sind Transparenz und kontinuierliche Verbesserung. In der Praxis hat sich gezeigt: Vor Einführung oder Erweiterung von CAFM-Funktionalitäten immer zunächst eine DSFA durchzuführen und diese regelmäßig zu aktualisieren. Ferner bewährt haben sich enge Abstimmungen aller Fachabteilungen sowie Investitionen in Privacy by Design (z.B. Datenschutz bereits beim Setup von Gebäudesensoren berücksichtigen). Gute Projekte dokumentieren Abweichungen vom Standard ebenso klar wie die Abstimmung mit den Datenschutzbehörden. Ein gepflegtes Rechenschaftsbuch hilft später, bei Prüfungen den gesamten Entscheidungsweg lückenlos nachzuvollziehen.