kostenlos starten

Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutz-Grundverordnung

DSFA

Inhalt

Die Datenschutz-Folgenabschätzung (DSFA) ist das zentrale und verpflichtende Instrument zur Risikobewertung von Datenverarbeitungsvorgängen. Mit diesem Dokument sollen datenschutzrechtliche Gefahren frühzeitig erkannt und angemessene Maßnahmen zu ihrer Verringerung getroffen werden.

Eine Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Dies kann etwa bei umfangreicher Videoüberwachung, beim Einsatz neuer Technologien oder bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) der Fall sein. Die DSFA muss vor Beginn der Datenverarbeitung abgeschlossen sein, also bereits in der Planungsphase. Nur so lassen sich Risiken wirksam reduzieren, bevor sie sich realisieren. Die Datenschutz-Folgenabschätzung ist schriftlich bzw. elektronisch zu dokumentieren und muss bestimmte gesetzlich vorgegebene Mindestinhalte enthalten; darunter eine Beschreibung der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Einschätzung der Risiken sowie die geplanten Abhilfemaßnahmen. Die Form ist nicht starr vorgegeben, sollte aber strukturiert, nachvollziehbar und aktuell gehalten sein. Die frühzeitige Einbindung des Datenschutzbeauftragten ist dabei verpflichtend.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutzfolgenabschätzung ist ein zentrales Instrument der DSGVO, um sicherzustellen, dass die Rechte und Freiheiten betroffener Personen bei risikobehafteten Verarbeitungen personenbezogener Daten geschützt werden. Sie ist in Art. 35 DSGVO geregelt und verpflichtet Verantwortliche dazu, vor der Durchführung einer Datenverarbeitung zu prüfen, ob diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Im Unterschied zu einer allgemeinen Datenschutzprüfung, bei der es um die Einhaltung datenschutzrechtlicher Grundsätze im Unternehmen geht, bezieht sich die DSFA DSGVO auf konkrete Verarbeitungsvorgänge, die ein erhöhtes Risiko bergen, etwa durch den Einsatz neuer Technologien, durch systematische Überwachung oder umfangreiche Profilbildung. Die DSFA Datenschutz ist also keine regelmäßige Kontrolle, sondern eine präventive, einmalige Analyse mit Fokus auf risikobehaftete Verfahren.

Ziel der Datenschutz-Folgenabschätzung ist es, potenzielle Risiken für die Betroffenen frühzeitig zu identifizieren und durch geeignete technische und organisatorische Maßnahmen zu minimieren. Sie umfasst daher eine systematische Beschreibung des geplanten Verarbeitungsvorgangs, eine Bewertung seiner Notwendigkeit und Verhältnismäßigkeit sowie eine ausführliche Analyse der Risiken und der geplanten Abhilfemaßnahmen.

Die Datenschutzfolgenabschätzung ist damit die zentrale Maßnahme des risikobasierten Ansatzes der DSGVO. Unternehmen müssen für jede Verarbeitung personenbezogener Daten prüfen, ob diese hohe Risiken für die Rechte und Freiheiten der Betroffenen hat. Für Verfahren, bei denen das der Fall ist, wird dann die eigentliche DSFA durchgeführt: eine detaillierte Beschreibung und Bewertung der datenschutzrechtlichen Risiken. Das Hauptziel ist es, besondere Risiken für die Rechte und Freiheiten von Betroffenen zu bewerten und angemessene Schutzmaßnahmen zu treffen.

Gesetzliche Grundlagen: DSGVO, BDSG und die Rolle der Aufsichtsbehörden

Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument der DSGVO, das Unternehmen dazu verpflichtet, vorab die Risiken bestimmter Datenverarbeitungen zu bewerten. Die rechtliche Grundlage bildet Art. 35 DSGVO, der eine DSFA vorschreibt, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat“.

Die Erwägungsgründe 84 bis 95 erläutern ergänzend, unter welchen Voraussetzungen dieses hohe Risiko gegeben ist und wie Unternehmen damit umgehen sollen. Ergänzend konkretisiert § 67 BDSG den verpflichtenden Inhalt von Datenschutzfolgenabschätzungen.

Wichtige Orientierung bieten die Leitlinien des Europäischen Datenschutzausschusses (EDSA) sowie die Orientierungshilfen zur DSFA der Datenschutzkonferenz (DSK), etwa die DSK-Blacklist zur DSFA (auch Muss-Liste DSK genannt), die konkrete Verarbeitungstätigkeiten benennt, bei denen eine DSFA verpflichtend ist. Auch das Kurzpapier Nr. 5 der DSK gibt eine Übersicht, wann und wie eine Datenschutzfolgenabschätzung abzugeben ist. Daran orientieren sich auch das ULD Schleswig Holstein und der LfD Niedersachsen in ihren Praxisleitfäden und Muss-Listen.

Wann Unternehmen eine DSFA benötigen

Aber wann ist eine DSFA notwendig? Immer dann, wenn Datenverarbeitung ein hohes Risiko für die Rechte der Betroffenen mit sich bringt. Typischerweise bei:

  • Scoring- oder Profiling-Verfahren
  • Videoüberwachung, insbesondere im öffentlichen Raum oder am Arbeitsplatz
  • Tracking und Verhaltenserkennung über Webseiten oder Apps
  • Cloud-Lösungen, etwa mit Drittlandbezug oder intensiver Kollaboration

Die häufigsten Fälle in Unternehmen sind hierbei:

  • DSFA für Office 365
  • DSFA für Microsoft Teams
  • DSFA für Facebook
  • DSFA für Videoüberwachung

Warum Unternehmen eine DSFA benötigen

Viele Organisationen gehen davon aus, dass sie keine „besonderen Datenverarbeitungen“ vornehmen. Das ist ein Irrtum mit potenziell sehr teuren Folgen. Denn die Prüfpraxis der Aufsichtsbehörden zeigt: Schon einfache Systeme können ein Risiko darstellen, wenn sie etwa regelmäßig sensible Daten erfassen oder großflächige Beobachtungen ermöglichen.

Die Folge fehlender DSFA? Prüfverfahren von Aufsichtsbehörden mit großem Aufwand für Ihr Unternehmen und ggf. Bußgeldern. Auch Ihr Unternehmenswert kann durch fehlende Datenschutzdokumentation sinken. Hintergründe hierzu erfahren Sie in unserem Blogbeitrag mit Datenschutz den Unternehmenswert steigern. Gerade im Zusammenhang mit der DSFA-Blacklist der DSK lohnt sich eine regelmäßige Prüfung, wann eine DSFA notwendig ist. Denn bei bestimmten Verarbeitungen ist sie keine Option, sondern Pflicht.

Inhalte einer DSFA: das gehört hinein

Eine vollständige Datenschutz-Folgenabschätzung ist mehr als eine kurze Risikoanalyse. Sie besteht aus mehreren inhaltlichen Komponenten:

  1. Beschreibung der geplanten Verarbeitung: Wer verarbeitet was, wie, auf welcher Rechtsgrundlage?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
  3. Risikobewertung hinsichtlich der Auswirkungen auf die Rechte und Freiheiten betroffener Personen
  4. Technische und organisatorische Maßnahmen (TOM) zur Risikominimierung- siehe auch unser Beitrag zum TOM-Konzept. Einen kostenlosen Download zur Erstellung eines TOM-Konzepts findest du hier.
  5. Ergebnisdokumentation im DSFA-Bericht: inkl. Begründung der Entscheidung und ggf. geplanter Folge-Maßnahmen
  6. Nachvollziehbarkeit: Die DSFA muss überprüfbar und dokumentiert sein
Jetzt kostenloses Muster anfordern!
Kostenloser Download

So führen Sie eine DSFA Schritt für Schritt durch

Eine DSFA durchzuführen ist mit einem strukturierten Vorgehen gut machbar.

So gehen Sie vor:

Schritt 1: Vorprüfung (Schwellwertanalyse)

Prüfen Sie mithilfe eines DSFA Kriterienkatalogs, ob eine DSFA tatsächlich erforderlich ist. Dieser Schritt wird auch DSFA Vorprüfung genannt.

Schritt 2: Beschreibung der Verarbeitung

Stellen Sie Art, Zweck, Umfang und betroffene Gruppen der Verarbeitung dar.

Schritt 3: Bewertung der Risiken

Welche Auswirkungen auf die Betroffenen sind zu erwarten? Welche Daten sind besonders schutzbedürftig?

Schritt 4: Festlegung und Bewertung der Maßnahmen

Legen Sie geeignete technische und organisatorische Schutzmaßnahmen fest.

Schritt 5: Dokumentation & Konsultation

Erstellen Sie einen vollständigen DSFA-Bericht. Bei hohem Restrisiko: Konsultieren Sie die zuständige Aufsichtsbehörde.

Eine ausführliche Anleitung mit Beispielen finden Sie in unserem kostenlosen DSFA-Leitfaden – jetzt herunterladen!

DSFA-Muster & Hilfsmittel – kostenloser Download

Sie möchten direkt loslegen? Unser kostenloses Muster enthält:

  • Eine DSFA-Gliederung
  • Eine Checkliste zur DSFA-Vorprüfung

Jetzt kostenlos herunterladen und anwenden!

Pflicht zur vorherigen Konsultation der Aufsichtsbehörde (Art. 36 DSGVO)

Sofern trotz Umsetzung geeigneter technischer und organisatorischer Maßnahmen ein hohes Risiko für betroffene Personen nicht ausreichend gemindert werden kann, besteht gemäß Art. 36 DSGVO die Pflicht zur vorherigen Konsultation der zuständigen Aufsichtsbehörde.

Das bedeutet:

  • Die Verarbeitung darf nicht ohne Rücksprache mit der Behörde aufgenommen werden.
  • Die Behörde hat bis zu acht Wochen Zeit, um zu reagieren, kann jedoch Fristverlängerung auf bis zu 14 Wochen beantragen.
  • Im Rahmen der Konsultation müssen Sie alle relevanten Unterlagen vorlegen, darunter:
    • das DSFA-Ergebnis,
    • geplante Maßnahmen zur Risikoreduktion,
    • Angaben zu Art, Umfang und Zwecken der Verarbeitung,
    • ggf. Einbindung des Datenschutzbeauftragten (Daten, Stellungnahme).

Diese Pflicht dient dem präventiven Schutz Betroffener bei besonders risikobehafteten Verarbeitungsvorgängen.

Die Aufsichtsbehörde kann:

  • Empfehlungen zur Risikominderung geben,
  • die Verarbeitung untersagen oder einschränken,
  • oder deren Bedingungen verbindlich definieren (Art. 58 DSGVO).

Ein Beispiel für eine solche Konstellation wäre etwa der Einsatz umfassender KI-gestützter Scoring-Verfahren im Personalwesen oder flächendeckender Videoüberwachung im öffentlichen Raum.

Die Konsultationspflicht wird häufig unterschätzt: Bei fehlender oder verspäteter Konsultation kann die Aufsichtsbehörde Bußgelder verhängen oder sofortige Maßnahmen anordnen.

Fazit

Die DSFA ist ein gesetzliche Pflicht und ein essenzielles Instrument, um datenschutzrechtliche Risiken bei der Einführung neuer Prozesse oder Technologien in Unternehmen zu bewerten und zu mindern. Das dient zum einen dem Schutz der Betroffenen, aber auch dem Schutz Ihres Unternehmens. Insbesondere in Zeiten der Digitalisierung und der Einführung neuer Technologien ist es für Unternehmen unerlässlich, sich mit den potenziellen Risiken und den notwendigen Schutzmaßnahmen auseinanderzusetzen.

Häufige Fragen zur DSFA (FAQ)

Wann genau ist eine DSFA verpflichtend?

Immer dann, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Ein Blick in die DSK-Blacklist hilft weiter.

Kann ich eine DSFA auch nachträglich machen?

Grundsätzlich ja; sie sollte jedoch möglichst vor Inbetriebnahme der Verarbeitung abgeschlossen sein.

Gibt es ein offizielles Formular?

Nein, aber es gibt etablierte Strukturen und Vorlagen. Unser Muster hilft beim Einstieg.

Wie oft muss eine DSFA aktualisiert werden?

Bei wesentlichen Änderungen an der Verarbeitung z. B. bei neuen Tools, Risiken oder Nutzergruppen.

Folgenabschätzung einfach in PLANIT // PRIMA umsetzen
Sie möchten eine Datenschutzfolgenabschätzung (DSFA) erstellen?// PRIMA unterstützt Sie bei Analyse, Planung und Umsetzung – // PRIMA jetzt 14 Tage kostenlos testen

Weitere Beiträge

Dienstleister datenschutzkonform einbinden: so geht’s

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im

Auskunftsbegehren in der Unternehmenspraxis

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn

Mit Datenschutz den Unternehmenswert steigern! 

Mit Datenschutz den Unternehmenswert steigern – das funktioniert!Datenschutz wird meist als lästige Pflicht und

Umsetzung von Löschpflichten: Löschkonzepte und Löschkonzept mit Muster

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur

DSFA

Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutz-Grundverordnung

Die DSFA DSGVO

Datenschutzrechtliche Gap- und Risikoanalyse

In einer Zeit, in der Daten als „neues Gold“ bezeichnet werden, hat der Datenschutz

Grundlagen des KI-Risikomanagements – KI-Systeme richtig einstufen, Risiken erkennen und managen

Grundlagen des KI-Risikomanagements Die KI-Verordnung (KI-VO) der Europäischen Union ist in Kraft getreten und

Die datenschutzrechtliche Einwilligung 

Ob Online-Shop, Newsletter oder Kundenumfrage – überall werden personenbezogene Daten verarbeitet. Damit dies rechtmäßig

10 Irrtümer über Datenschutz, die fast jedes Unternehmen glaubt

Einleitung Viele Unternehmen unterschätzen das Thema Datenschutz oft aus Unwissenheit oder Fehleinschätzungen. Aussagen wie

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024