# Erforderlichkeit einer Datenschutz-Folgenabschätzung
Wann ist eine DSFA Pflicht? Schwellenwertanalyse nach Art. 35 DSGVO mit Beispielen: Regelbeispiele des Abs. 3, die neun Kriterien der Risikoprognose, die Muss-Liste der Aufsichtsbehörden, Fallbeispiele sowie Ausnahmen nach Abs. 5 und Abs. 10.
> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.1-erforderlichkeit
> Sprache: en
Bevor eine Datenschutz-Folgenabschätzung durchgeführt wird, steht die Frage, ob sie überhaupt erforderlich ist. Pflicht ist sie nur, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Diese Vorprüfung heißt Schwellenwertanalyse. Sie ist frühzeitig vorzunehmen und zu dokumentieren, und zwar auch dann, wenn sie zu dem Ergebnis kommt, dass keine Datenschutz-Folgenabschätzung nötig ist.
**Das Wichtigste in Kürze**
* Die Pflicht ergibt sich aus einer Zusammenschau mehrerer Absätze: Grundtatbestand (Abs. 1), Regelbeispiele (Abs. 3) und Positivliste der Aufsichtsbehörde (Abs. 4).
* Effizient ist die umgekehrte Prüfreihenfolge: zuerst die Listen der Aufsichtsbehörden, dann die Regelbeispiele, erst zuletzt die aufwendige Einzelfallprüfung des Abs. 1.
* Die Art.-29-Datenschutzgruppe nennt neun Kriterien; in der Regel ist eine Datenschutz-Folgenabschätzung erforderlich, wenn **zwei** davon erfüllt sind.
* Die deutschen Aufsichtsbehörden haben 17 typische Verarbeitungstätigkeiten benannt, bei denen eine Datenschutz-Folgenabschätzung stets durchzuführen ist (Muss-Liste).
* Ausnahmen können sich aus einer Negativliste (Abs. 5) oder einer vorgezogenen gesetzlichen Folgenabschätzung (Abs. 10) ergeben.
* Im Zweifel durchführen: Die Datenschutz-Folgenabschätzung ist auch ein hilfreiches Instrument zur Einhaltung der DSGVO.
## 1. Die Schwellenwertanalyse [#1-die-schwellenwertanalyse]
### 1.1 Maßstab: voraussichtlich hohes Risiko [#11-maßstab-voraussichtlich-hohes-risiko]
Maßgeblich ist eine Prognose. Aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung muss voraussichtlich ein hohes Risiko bestehen (Art. 35 Abs. 1 S. 1 DSGVO). Diese vier Attribute sind kumulativ zu betrachten; oft ergibt sich das hohe Risiko erst aus ihrem Zusammenspiel, in Einzelfällen aber bereits aus einem einzelnen Merkmal, etwa allein aus dem verfolgten Zweck.
Zu bewerten ist stets das Risiko für die **betroffenen Personen**, nicht das wirtschaftliche oder rechtliche Risiko des Unternehmens. Drohende Bußgelder, Reputations- oder Geschäftsschäden des Verantwortlichen sind an dieser Stelle ohne Bedeutung. Es geht um mögliche physische, materielle oder immaterielle Schäden der Betroffenen, etwa Diskriminierung, Identitätsdiebstahl, finanziellen Verlust oder den Verlust der Kontrolle über die eigenen Daten (Erwägungsgrund 75 DSGVO).
### 1.2 Die vier Attribute im Einzelnen [#12-die-vier-attribute-im-einzelnen]
Die Schwellenwertanalyse betrachtet die geplante Verarbeitung anhand von vier Merkmalen. Jedes kann das Risiko erhöhen:
* **Art der Verarbeitung.** Worum geht es inhaltlich? Risikoerhöhend wirken etwa Profilbildung, automatisierte Entscheidungen, die Verarbeitung besonderer Datenkategorien oder eine systematische Überwachung. Beispiel: die automatisierte Auswertung des Surf- und Kaufverhaltens zu Werbezwecken.
* **Umfang der Verarbeitung.** Wie viele Personen, wie viele Daten, über welche Dauer und welches Gebiet (siehe 1.3)? Beispiel: eine bundesweite Kundendatenbank mit Millionen Datensätzen wiegt schwerer als eine lokale Kundenliste.
* **Umstände der Verarbeitung.** Erfolgt sie offen oder heimlich, kann sich die betroffene Person ihr entziehen, sind viele Stellen beteiligt? Beispiel: eine für die Betroffenen nicht erkennbare Hintergrundverarbeitung wiegt schwerer als eine, der sie aktiv zustimmen.
* **Zwecke der Verarbeitung.** Wozu dient sie? Je eingriffsintensiver der Zweck (Bewertung, Überwachung, Steuerung von Personen), desto eher ist von einem hohen Risiko auszugehen.
### 1.3 Was großer Umfang bedeutet [#13-was-großer-umfang-bedeutet]
Ob eine Verarbeitung in großem Umfang erfolgt, beurteilt sich nicht allein nach absoluten Zahlen. Die Art.-29-Datenschutzgruppe nennt vier Anhaltspunkte, die zusammen zu würdigen sind ([WP 248 Rev. 01](https://www.datenschutz-bayern.de/technik/orient/wp248.pdf)):
* die **Zahl der betroffenen Personen**, entweder als konkrete Zahl oder als Anteil an der maßgeblichen Bevölkerung,
* der **Umfang der Daten** und die Bandbreite der verarbeiteten Datenarten,
* die **Dauer und Beständigkeit** der Verarbeitung,
* die **geografische Reichweite**.
Ein einzelner Arzt, der die Daten seiner Patienten verarbeitet, handelt danach nicht in großem Umfang; ein Krankenhaus, das die Daten einer Vielzahl von Patienten verarbeitet, dagegen schon.
### 1.4 Neue Technologien [#14-neue-technologien]
Das Gesetz hebt die Verwendung **neuer Technologien** hervor (Art. 35 Abs. 1 S. 1 DSGVO). Ein hohes Risiko ist dabei vor allem dann anzunehmen, wenn umfangreiche Verarbeitungen großer Datenmengen eine Vielzahl von Personen betreffen oder besonders sensible Daten einbeziehen (Erwägungsgrund 91 DSGVO). Als Anwendungsfelder gelten etwa vernetzte Fahrzeuge, vernetzte Gesundheitsanwendungen, Big-Data- und Tracking-Verfahren, Verfahren der künstlichen Intelligenz, die Kombination biometrischer Verfahren wie Fingerabdruck und Gesichtserkennung sowie neue Überwachungstechnik.
Unabhängig vom Technikeinsatz besteht ein hohes Risiko vor allem, wenn die Verarbeitung den betroffenen Personen die Ausübung ihrer Rechte erschwert oder sie daran hindert, etwa bei hoher Komplexität und Intransparenz, einer Vielzahl beteiligter Verantwortlicher oder heimlicher und anlassloser Verarbeitung im Rahmen von Überwachungs- und Sicherheitsmaßnahmen (Erwägungsgrund 91 DSGVO).
**Sonderfall einzelner Arzt oder Rechtsanwalt.** Verarbeitet ein einzelner Angehöriger eines Gesundheitsberufs oder ein einzelner Rechtsanwalt Daten seiner Patienten oder Mandanten, gilt diese Verarbeitung nicht als umfangreich; eine Datenschutz-Folgenabschätzung ist dann nicht zwingend ([Erwägungsgrund 91 DSGVO](https://dsgvo-gesetz.de/erwaegungsgruende/nr-91/)). Die Privilegierung greift nur beim einzelnen Berufsträger, nicht bei größeren Einheiten wie Krankenhäusern oder großen Sozietäten.
### 1.5 Effiziente Prüfreihenfolge [#15-effiziente-prüfreihenfolge]
Ob eine Datenschutz-Folgenabschätzung durchzuführen ist, lässt sich nur aus dem Zusammenspiel mehrerer Absätze beantworten. Statt der numerischen Reihenfolge ist eine umgekehrte Prüfung effizienter:
**Listen der Aufsichtsbehörden prüfen.**
Steht die Verarbeitung auf der Positivliste (Muss-Liste) nach Art. 35 Abs. 4 DSGVO, ist eine Datenschutz-Folgenabschätzung Pflicht. Steht sie auf einer Negativliste nach Art. 35 Abs. 5 DSGVO, ist keine erforderlich.
**Regelbeispiele prüfen.**
Liegt einer der drei Fälle des Art. 35 Abs. 3 DSGVO vor, besteht die Pflicht.
**Grundtatbestand prüfen.**
Nur wenn die Listen und Regelbeispiele nicht weiterhelfen, folgt die aufwendige Einzelfallprüfung des hohen Risikos nach Art. 35 Abs. 1 DSGVO anhand der neun Kriterien (siehe 3.).
## 2. Regelbeispiele (Abs. 3) [#2-regelbeispiele-abs-3]
Art. 35 Abs. 3 DSGVO nennt drei Fälle, in denen eine Datenschutz-Folgenabschätzung insbesondere erforderlich ist. Die Aufzählung ist nicht abschließend.
### 2.1 Systematische und umfassende Bewertung (lit. a) [#21-systematische-und-umfassende-bewertung-lit-a]
Erfasst ist die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die auf automatisierter Verarbeitung einschließlich Profiling beruht und ihrerseits Grundlage für Entscheidungen mit Rechtswirkung oder ähnlich erheblicher Beeinträchtigung ist. Beispiele:
* Kreditscoring durch Banken oder Auskunfteien zur Bestimmung des Ausfallrisikos,
* Risikobewertung durch Versicherungen zur Festsetzung der Beitragshöhe,
* vollautomatisierte Vorauswahl von Bewerbern im E-Recruiting ohne menschliche Zwischenkontrolle.
### 2.2 Umfangreiche Verarbeitung besonderer Datenkategorien (lit. b) [#22-umfangreiche-verarbeitung-besonderer-datenkategorien-lit-b]
Erfasst ist die umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 Abs. 1 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO. Das hohe Risiko folgt hier bereits aus der Art der Daten ([siehe Art. 9](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten)). Beispiele:
* die Verarbeitung von Patientendaten durch ein Krankenhaus,
* die umfangreiche Verarbeitung von Daten über Gewerkschaftszugehörigkeit oder religiöse Überzeugung,
* der Betrieb eines Verzeichnisses mit Daten über strafrechtliche Verurteilungen.
Maßgeblich ist die Umfangreichkeit: Die Verarbeitung sensibler Daten durch einen einzelnen Berufsträger erfüllt das Regelbeispiel in der Regel nicht (siehe 1.4).
### 2.3 Systematische Überwachung öffentlich zugänglicher Bereiche (lit. c) [#23-systematische-überwachung-öffentlich-zugänglicher-bereiche-lit-c]
Erfasst ist die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche, typischerweise durch Videoüberwachung. Beispiele:
* die Videoüberwachung eines großen Einkaufszentrums oder eines Bahnhofsvorplatzes,
* die flächendeckende Überwachung eines öffentlich zugänglichen Betriebsgeländes mit Publikumsverkehr.
### 2.4 Positivliste der Aufsichtsbehörde (Abs. 4) [#24-positivliste-der-aufsichtsbehörde-abs-4]
Die Aufsichtsbehörden erstellen und veröffentlichen eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (Art. 35 Abs. 4 DSGVO). Für den nicht-öffentlichen Bereich haben sich die deutschen Aufsichtsbehörden auf eine gemeinsame Muss-Liste verständigt, die der Europäische Datenschutzausschuss bestätigt hat ([DSK, Liste der Verarbeitungstätigkeiten nach Art. 35 Abs. 4 DSGVO](https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf)). Für den öffentlichen Bereich des Bundes führt der Bundesbeauftragte für den Datenschutz eine eigene Liste; einen Überblick über beide Listen bietet die [Sammlung der Muss-Listen beim BfDI](https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Technik/Datenschutz-Folgenabschaetzungen.html). Für den öffentlichen Bereich der Länder bestehen daneben eigene Listen einzelner Aufsichtsbehörden.
Die Positivliste ist **nicht abschließend**. Sie entbindet nur dann von der eigenen Prüfung nach Abs. 1, wenn die konkrete Verarbeitung dort ausdrücklich aufgeführt ist. Findet sich der Vorgang nicht auf der Liste, bleibt die Schwellenwertanalyse erforderlich.
## 3. Die neun Kriterien der Risikoprognose [#3-die-neun-kriterien-der-risikoprognose]
Führt die Prüfung der Listen und Regelbeispiele zu keinem Ergebnis, ist das hohe Risiko nach Art. 35 Abs. 1 DSGVO im Einzelfall zu prognostizieren. Hilfestellung bieten die neun Kriterien der Art.-29-Datenschutzgruppe, die jeweils für ein erhöhtes Risiko sprechen ([Art.-29-Datenschutzgruppe, Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01](https://www.datenschutz-bayern.de/technik/orient/wp248.pdf)):
| Nr. | Kriterium | Beispiel |
| --- | ------------------------------------------------------------------------ | --------------------------------------------------------------------------- |
| 1 | Bewerten oder Einstufen (Scoring, Profiling) | Bonitätsscoring, Versicherungs-Risikobewertung |
| 2 | Automatisierte Entscheidung mit Rechts- oder ähnlich erheblicher Wirkung | automatische Kreditablehnung, vollautomatisierte Bewerberauswahl |
| 3 | Systematische Überwachung | Videoüberwachung, Auswertung des Internet- und Mailverkehrs am Arbeitsplatz |
| 4 | Vertrauliche oder höchst persönliche Daten | Gesundheits-, Religions-, Finanz-, Standort- und Kommunikationsdaten |
| 5 | Verarbeitung in großem Umfang | bundesweite Kundendatenbank mit großer Datentiefe |
| 6 | Abgleichen oder Zusammenführen von Datensätzen | Anreicherung von Kundendaten mit Daten aus Drittquellen |
| 7 | Daten schutzbedürftiger Betroffener | Kinder, Beschäftigte, Patienten, ältere Menschen |
| 8 | Innovative Nutzung neuer Technologien | IoT, künstliche Intelligenz, vernetzte Fahrzeuge |
| 9 | Hinderung an der Ausübung eines Rechts oder der Nutzung einer Leistung | Bonitätsfilter, der den Vertragsabschluss verhindert |
Faustregel: Sind **zwei** dieser Kriterien erfüllt, ist in der Regel eine Datenschutz-Folgenabschätzung durchzuführen. Je mehr Kriterien zutreffen, desto wahrscheinlicher ist die Pflicht. Im Zweifel rät die Art.-29-Datenschutzgruppe dazu, eine Datenschutz-Folgenabschätzung vorzunehmen, weil sie dem Verantwortlichen hilft, die Anforderungen der DSGVO einzuhalten (WP 248 Rev. 01).
So genügt etwa die Kombination aus Bewerten (Nr. 1) und großem Umfang (Nr. 5) bei einem Kundenbindungsprogramm mit Profilbildung, aus systematischer Überwachung (Nr. 3) und schutzbedürftigen Beschäftigten (Nr. 7) bei der Auswertung des Arbeitsverhaltens, oder aus besonderen Daten (Nr. 4) und innovativer Technologie (Nr. 8) bei einer Gesundheits-App.
## 4. Beispiele aus der Muss-Liste der Aufsichtsbehörden [#4-beispiele-aus-der-muss-liste-der-aufsichtsbehörden]
Die folgende Übersicht fasst die 17 Verarbeitungstätigkeiten der deutschen Muss-Liste für den nicht-öffentlichen Bereich zusammen. Steht die geplante Verarbeitung einer dieser Tätigkeiten gleich, ist eine Datenschutz-Folgenabschätzung stets durchzuführen ([DSK-Muss-Liste](https://www.lda.bayern.de/media/dsfa_muss_liste_dsk_de.pdf)).
| Nr. | Verarbeitungstätigkeit | Beispiel |
| --- | --------------------------------------------------------------------------------------- | --------------------------------------------------------------- |
| 1 | Biometrische Daten zur eindeutigen Identifizierung (mit weiterem Kriterium) | Fingerabdruck zur Zutrittskontrolle, Bezahlen per Fingerabdruck |
| 2 | Genetische Daten (mit weiterem Kriterium) | DNA-Früherkennung in der Klinik, Abstammungsanalyse |
| 3 | Umfangreiche Verarbeitung von Daten unter Sozial-, Berufs- oder Amtsgeheimnis | Insolvenzverzeichnis, große Anwaltssozietät |
| 4 | Umfangreiche Verarbeitung von Aufenthaltsdaten | Car-Sharing- und Mobilitätsdienste |
| 5 | Zusammenführung von Daten aus verschiedenen Quellen als Entscheidungsgrundlage | Fraud-Prevention im Online-Shop, Scoring durch Auskunfteien |
| 6 | Mobile optisch-elektronische Erfassung im öffentlichen Bereich, zentral zusammengeführt | Umgebungssensoren vernetzter Fahrzeuge |
| 7 | Umfangreiche Erhebung und Veröffentlichung von Bewertungsdaten | Bewertungsportale, Inkasso und Forderungsmanagement |
| 8 | Umfangreiche Verarbeitung von Verhaltensdaten Beschäftigter zur Leistungsbewertung | Data-Loss-Prevention mit Mitarbeiterprofilen, GPS-Ortung |
| 9 | Erstellung umfassender Persönlichkeits- und Beziehungsprofile | Dating-Portale, große soziale Netzwerke |
| 10 | Big-Data-Zusammenführung zur Entdeckung unbekannter Zusammenhänge | Kundendaten angereichert mit Bonitäts- und Social-Media-Daten |
| 11 | KI zur Steuerung der Interaktion oder Bewertung der Betroffenen | KI-gestützter Kundensupport mit Stimmungsanalyse |
| 12 | Tracking über Sensoren oder Funksignale mobiler Geräte | Offline-Tracking von Kundenbewegungen im Warenhaus |
| 13 | Automatisierte Auswertung von Video- oder Audioaufnahmen zur Persönlichkeitsbewertung | algorithmische Stimmungsanalyse von Telefongesprächen |
| 14 | Umfassende Profile über Bewegung und Kaufverhalten | Kundenkarte mit Treuepunkten und Profilbildung |
| 15 | Anonymisierung besonderer Daten nach Art. 9 zur Übermittlung an Dritte | Anonymisierung sensibler Daten durch ein Apothekenrechenzentrum |
| 16 | Sensible Daten über Sensoren oder mobile Anwendungen, zentral aufbereitet | Telemedizin mit Sensordaten beim Patienten |
| 17 | Sensible Daten neuer Technologien zur Bestimmung der Leistungsfähigkeit | zentrale Speicherung von Fitnessarmband-Daten |
## 5. Fallbeispiele [#5-fallbeispiele]
### 5.1 Bonitäts-Scoring im Online-Shop [#51-bonitäts-scoring-im-online-shop]
**Sachverhalt:** Ein Online-Shop prüft vor Anzeige der Zahlungsart Rechnungskauf das Ausfallrisiko des Kunden, indem er eigene Daten mit Angaben aus Drittquellen zu einem Risikowert zusammenführt.
**Bewertung:** Es greifen mehrere Kriterien: Bewerten und Einstufen (Nr. 1), Zusammenführen von Datensätzen (Nr. 6) und eine Entscheidung mit erheblicher Wirkung für den Kunden (Nr. 2). Die Verarbeitung entspricht zudem Nr. 5 der Muss-Liste.
**Ergebnis:** Eine Datenschutz-Folgenabschätzung ist durchzuführen.
### 5.2 Bewegungsprofile von Außendienst-Beschäftigten [#52-bewegungsprofile-von-außendienst-beschäftigten]
**Sachverhalt:** Ein Unternehmen ortet die Dienstfahrzeuge seiner Außendienstmitarbeiter per GPS, um Einsätze zu koordinieren, und speichert die Standortdaten dauerhaft.
**Bewertung:** Betroffen sind schutzbedürftige Beschäftigte (Nr. 7), es liegt eine systematische Überwachung vor (Nr. 3), und die Daten können zur Bewertung des Arbeitsverhaltens genutzt werden. Die Verarbeitung entspricht Nr. 8 der Muss-Liste.
**Ergebnis:** Eine Datenschutz-Folgenabschätzung ist durchzuführen.
### 5.3 Gegenbeispiel: einfache Kundenkartei [#53-gegenbeispiel-einfache-kundenkartei]
**Sachverhalt:** Ein kleiner Handwerksbetrieb führt eine Kundenkartei mit Namen, Anschriften und Rechnungsdaten zur Auftragsabwicklung, ohne Profilbildung, ohne sensible Daten und ohne automatisierte Entscheidungen.
**Bewertung:** Es greift allenfalls ein einzelnes, schwach ausgeprägtes Merkmal. Weder ein Regelbeispiel noch zwei Kriterien sind erfüllt; die Verarbeitung steht nicht auf der Muss-Liste.
**Ergebnis:** Eine Datenschutz-Folgenabschätzung ist nicht erforderlich. Das Ergebnis der Schwellenwertanalyse ist gleichwohl zu dokumentieren (siehe 8.).
## 6. Gemeinsame Folgenabschätzung für mehrere Verarbeitungen [#6-gemeinsame-folgenabschätzung-für-mehrere-verarbeitungen]
Für mehrere ähnliche Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden (Art. 35 Abs. 1 S. 2 DSGVO). Das stellt klar, dass eine Form der Verarbeitung mehrere einzelne Vorgänge umfassen kann, und ist aus Gründen der Wirtschaftlichkeit sinnvoll (Erwägungsgrund 92 DSGVO). In Betracht kommt das etwa, wenn mehrere Stellen eine gemeinsame Anwendung oder Plattform nutzen oder eine gleichartige Maßnahme an mehreren Standorten eingeführt wird. Die Pflicht zur Datenschutz-Folgenabschätzung verbleibt dabei bei jeder verantwortlichen Stelle.
## 7. Ausnahmen von der Durchführungspflicht [#7-ausnahmen-von-der-durchführungspflicht]
### 7.1 Negativliste der Aufsichtsbehörde (Abs. 5) [#71-negativliste-der-aufsichtsbehörde-abs-5]
Die Aufsichtsbehörden können zusätzlich eine Liste der Verarbeitungsvorgänge erstellen, für die keine Datenschutz-Folgenabschätzung erforderlich ist (Art. 35 Abs. 5 DSGVO). Anders als die Positivliste ist die Negativliste fakultativ. Die deutschen Aufsichtsbehörden haben bislang keine veröffentlicht.
### 7.2 Vorgezogene gesetzliche Folgenabschätzung (Abs. 10) [#72-vorgezogene-gesetzliche-folgenabschätzung-abs-10]
Beruht die Verarbeitung auf einer Rechtsgrundlage nach Art. 6 Abs. 1 lit. c oder lit. e DSGVO und wurde bereits beim Erlass dieser Rechtsgrundlage eine Folgenabschätzung durchgeführt, entfällt die Pflicht des Verantwortlichen, sofern der Gesetzgeber nicht ausdrücklich eine zusätzliche Datenschutz-Folgenabschätzung verlangt (Art. 35 Abs. 10 DSGVO). Die praktische Bedeutung ist gering, weil ein Gesetzgeber bisher kaum eine eigene Folgenabschätzung durchgeführt hat. In Betracht kommen nur Rechtsgrundlagen, die nach Geltung der DSGVO erlassen wurden.
## 8. Beteiligung des Datenschutzbeauftragten und Dokumentation [#8-beteiligung-des-datenschutzbeauftragten-und-dokumentation]
Steht fest, dass eine Datenschutz-Folgenabschätzung durchzuführen ist, holt der Verantwortliche den Rat des [Datenschutzbeauftragten](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter/1.3.8.3-aufgaben) ein, sofern ein solcher benannt ist (Art. 35 Abs. 2 DSGVO). Die Beteiligung ist verfahrensrechtlich verpflichtend, der Rat aber nicht bindend. Aus der Pflicht zur bloßen Beteiligung folgt zugleich, dass die Datenschutz-Folgenabschätzung nicht auf den Datenschutzbeauftragten delegiert werden kann, sondern Sache des Verantwortlichen bleibt. Wie sich die Beteiligten unternehmensintern verteilen, behandelt die Unterseite [Unternehmensinterne Organisation](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung/1.3.10.3-unternehmensinterne-organisation).
**Praxistipp Dokumentation.** Halten Sie das Ergebnis der Schwellenwertanalyse zu jeder Verarbeitungstätigkeit fest, auch wenn keine Datenschutz-Folgenabschätzung erforderlich ist. Bei einer Prüfung lässt sich sonst nicht nachweisen, dass Art. 35 DSGVO vor Aufnahme der Verarbeitung berücksichtigt wurde. Die Schwellenwertanalyse lässt sich unmittelbar an das [Verzeichnis von Verarbeitungstätigkeiten](/docs/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten) anknüpfen.
---
## Über den Autor
Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.