Datenschutz & Compliance

Datenschutz-Folgenabschätzung: Wann sie Pflicht ist und wie man vorgeht

7 Min. Lesezeit
Kurze Antwort

Eine DSFA ist verpflichtend bei systematischer Überwachung, Verarbeitung sensibler Datenkategorien im großen Maßstab und bestimmten Verfahren auf der Pflichtliste der Aufsichtsbehörden.

Art. 35 DSGVO: Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchführen. Verstoß: bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Was eine DSFA ist und warum sie unterschätzt wird

Wann eine DSFA Pflicht ist – Checkliste

  • Systematische Bewertung persönlicher Aspekte: Profiling, Scoring, automatisierte Entscheidungen mit erheblichen Auswirkungen
  • Verarbeitung besonderer Datenkategorien im großen Maßstab: Gesundheit, Religion, ethnische Herkunft, biometrische Daten
  • Systematische Überwachung öffentlich zugänglicher Bereiche: Videoüberwachung, GPS-Tracking von Mitarbeitern oder Fahrzeugen
  • Verarbeitung auf der Muss-Liste der deutschen Aufsichtsbehörden (DSK-Blacklist)
  • Einsatz neuer Technologien mit unklarem Risikoprofil: KI-Systeme, IoT, Gesichtserkennung

DSFA Schritt für Schritt durchführen

  1. Schritt 1 – Verfahren beschreiben

    Dokumentieren Sie das Verarbeitungsverfahren vollständig: Welche Daten werden erhoben? Von wem? Zu welchem Zweck? Wie lange gespeichert? Wer hat Zugriff? Werden Daten an Dritte weitergegeben? Diese Beschreibung ist die Grundlage für die gesamte DSFA.

  2. Schritt 2 – Notwendigkeit und Verhältnismäßigkeit prüfen

    Ist die Verarbeitung für den angestrebten Zweck erforderlich? Könnten Sie denselben Zweck mit weniger oder weniger sensiblen Daten erreichen? Dieser Schritt zwingt zu einer ehrlichen Auseinandersetzung mit dem tatsächlichen Datenbedarf (Datensparsamkeit nach Art. 5 Abs. 1 lit. c DSGVO).

  3. Schritt 3 – Risiken identifizieren und bewerten

    Analysieren Sie Risiken für Betroffene: Was passiert, wenn die Daten in falsche Hände geraten? Was, wenn sie falsch verarbeitet werden? Bewerten Sie Eintrittswahrscheinlichkeit und Schwere jedes Risikos (gering, mittel, hoch) und dokumentieren Sie diese Bewertung nachvollziehbar.

  4. Schritt 4 – Abhilfemaßnahmen festlegen

    Legen Sie konkrete technische und organisatorische Maßnahmen fest, die die Risiken senken: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen, Schulungen, Löschkonzepte, Datenschutz by Design. Bewerten Sie das Restrisiko nach Umsetzung dieser Maßnahmen.

  5. Schritt 5 – DSB und ggf. Aufsichtsbehörde einbeziehen

    Konsultieren Sie Ihren Datenschutzbeauftragten – das ist nach Art. 35 Abs. 2 DSGVO bei Pflicht-DSFA obligatorisch. Wenn das Restrisiko trotz aller Maßnahmen hoch bleibt, müssen Sie die zuständige Aufsichtsbehörde vorab konsultieren (Art. 36 DSGVO). Diese hat bis zu 8 Wochen Zeit für ihre Stellungnahme.

Wann keine DSFA nötig ist – aber Vorsicht

Keine Pflicht-DSFA bei Verarbeitungen ohne hohes Risiko, bei Verfahren auf der Whitelist der Aufsichtsbehörden oder bei bereits durchgeführter DSFA für identische Verfahren. Ob ein Risiko als hoch einzustufen ist, bleibt oft Ermessenssache. Im Zweifel ist eine freiwillige DSFA die rechtssicherere Wahl.

Tool-Empfehlung

Das BSI und mehrere Datenschutzbeauftragte der Länder bieten kostenlose DSFA-Vorlagen an. Das Kurzpapier Nr. 5 der Datenschutzkonferenz zur DSFA ist ein guter Startpunkt. Das Tool dsfa.info bietet eine strukturierte Führung durch den Prozess und erstellt automatisch Dokumentation.

Fazit: DSFA als Investition, nicht als Last

Wir begleiten Sie durch die Datenschutz-Folgenabschätzung – von der Risikoanalyse bis zur fertigen Dokumentation, die Aufsichtsbehörden überzeugt.

Jetzt beraten lassen

Häufige Fragen

Was ist eine Datenschutz-Folgenabschätzung?
Eine DSFA ist ein Prozess zur Analyse und Minimierung von Datenschutzrisiken bei Verarbeitungen, die voraussichtlich ein hohes Risiko für Betroffene darstellen. Sie ist in Art. 35 DSGVO geregelt und muss vor Beginn der Verarbeitung durchgeführt werden.
Welche Verarbeitungen lösen eine DSFA-Pflicht aus?
Systematisches Profiling, Verarbeitung sensibler Datenkategorien im großen Maßstab, Videoüberwachung öffentlicher Bereiche und Verfahren auf der Pflichtliste der deutschen Aufsichtsbehörden lösen die DSFA-Pflicht aus.
Was passiert, wenn ich keine DSFA durchführe, obwohl ich müsste?
Unterlassene DSFA kann mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Zusätzlich kann die Aufsichtsbehörde die betreffende Verarbeitung untersagen.
Wie lange ist eine DSFA gültig?
Eine DSFA gilt nicht dauerhaft. Bei wesentlichen Änderungen der Verarbeitung oder der Risikolage muss sie überprüft und aktualisiert werden.

War dieser Artikel hilfreich?

Verwandte Artikel
Datenschutz & Compliance
Datenschutz-Folgenabschätzung (DSFA): Wann sie Pflicht ist und wie sie gelingt
9 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Digitalisierung & KI
KI und Datenschutz: Was Mitarbeiter wissen müssen bevor sie Kundendaten eingeben
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen