Dsfa: Beweislast, Darlegungslast und Substantiierung
Arbeitsweg
- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: DSGVO; BDSG; TDDDG; Art. 44 ff — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.
Fokus: Dsfa: Beweislast, Darlegungslast und Substantiierung.
Spezialwissen: Dsfa: Beweislast, Darlegungslast und Substantiierung
- Normen-/Quellenanker: DSGVO, BDSG, TDDDG, PIA, DPIA, AVV, Art. 15, Art. 33, Art. 44, US, DPF, SCC.
Fallweichen
Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern:
- Welche Rolle hat die fragende Person und wer ist Gegenüber?
- Welches konkrete Ziel soll erreicht oder verhindert werden?
- Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch?
- Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt?
- Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage?
Arbeitsworkflow
- Fallbild bilden: Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen.
- Rechtsrahmen setzen: Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld DSFA prüfen.
- Prüfpunkte abarbeiten: Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen.
- Risiko bewerten: Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben.
- Anschluss bauen: Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist.
Pflichtinhalt DSFA (Art. 35 Abs. 7 DSGVO)
- Lit. a: Systematische Beschreibung der Verarbeitungsvorgänge und der Verarbeitungszwecke, gegebenenfalls einschließlich der berechtigten Interessen.
- Lit. b: Bewertung der Notwendigkeit und Verhältnismäßigkeit.
- Lit. c: Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen.
- Lit. d: Geplante Abhilfemaßnahmen mit Garantien, Sicherheitsvorkehrungen und Verfahren, einschließlich der Berücksichtigung der Rechte und berechtigten Interessen.
Beweislast nach Art. 5 Abs. 2 DSGVO
Der Verantwortliche ist für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 verantwortlich und muss deren Einhaltung nachweisen können (Rechenschaftspflicht / Accountability). DSFA dient als Nachweismedium bei Hochrisiko-Verarbeitungen.
Substantiierung der DSFA
- Datenflussdiagramm: Datenquellen, Zwischenschritte, Empfänger, Speicherorte, Aufbewahrungsdauer.
- Risikoanalyse: Identifikation Bedrohung, Auswirkung, Eintrittswahrscheinlichkeit, Restrisiko.
- TOMs gem. Art. 32 DSGVO: Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Backup, Wiederherstellung.
- Konsultation der/des DSB (Art. 35 Abs. 2): dokumentiert mit Stellungnahme.
- Konsultation der Betroffenen (Art. 35 Abs. 9): wenn angezeigt; in jedem Fall dokumentieren, warum mit oder ohne.
Darlegungslast im Aufsichtsverfahren
- Aufsichtsbehörde kann nach Art. 58 Abs. 1 lit. a DSGVO Auskunft verlangen.
- Bei vorheriger Konsultation Art. 36 ist der Verantwortliche selbst Initiator — er muss die DSFA vollständig vorlegen.
- Bei Verfahren aufgrund Beschwerde / Aufsichtsinitiative: Pflicht zur Vorlage der DSFA aufgrund Art. 5 Abs. 2 i. V. m. Art. 35.
Häufige Mängel
- Pauschale Risikobewertung ohne konkrete Bedrohungsmodelle.
- TOMs aufgezählt, aber nicht implementiert (Behörde verlangt Wirksamkeitsnachweis).
- Keine periodische Aktualisierung trotz wesentlicher Änderungen.
- DSB nicht eingebunden oder ohne dokumentierte Stellungnahme.
- Verzicht auf vorherige Konsultation Art. 36 trotz hohem Restrisiko.
Trade-off
Schlanke DSFA-Templates beschleunigen die Erstellung, lassen aber bei Hochrisiko-Use-Cases Lücken offen. Vollständige DSFA mit Bedrohungsmodellierung (z. B. nach LINDDUN, ENISA-Methodik) ist robust für Aufsichtsverfahren, kostet aber Personal. Empfehlung: gestufte Tiefe je Risiko (Light/Standard/Deep) mit dokumentierter Begründung der gewählten Stufe.