Zum Hauptinhalt springen
Datenschutz / DSGVO

Datenschutz-Folgenabschätzung (DSFA)

Eine gem. Art. 35 DSGVO erforderliche Risikoanalyse bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte der Betroffenen.

Die Datenschutz-Folgenabschätzung (DSFA) ist ein strukturiertes Verfahren zur Risikoanalyse, das vor der Inbetriebnahme einer Verarbeitungstätigkeit durchgeführt werden muss, wenn diese voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Art. 35 DSGVO nennt exemplarische Fälle, in denen eine DSFA zwingend erforderlich ist: systematische und umfassende Bewertung persönlicher Aspekte mittels automatisierter Verarbeitung einschließlich Profiling, umfangreiche Verarbeitung besonderer Datenkategorien sowie systematische Überwachung öffentlich zugänglicher Bereiche.

Eine DSFA muss mindestens folgende Elemente enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Verarbeitungszwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die geplanten Abhilfemaßnahmen einschließlich Sicherheitsgarantien und Schutzmaßnahmen. Wenn die verbleibenden Risiken nach Umsetzung der Maßnahmen noch immer hoch sind, muss die zuständige Aufsichtsbehörde vor Beginn der Verarbeitung konsultiert werden (Art. 36 DSGVO).

Für Compliance Officer empfiehlt sich eine proaktive Herangehensweise: Bereits in der Planungsphase neuer Projekte sollte mithilfe einer Schwellenwertanalyse geprüft werden, ob eine DSFA erforderlich ist. Die Datenschutzkonferenz (DSK) hat eine Liste von Verarbeitungsarten veröffentlicht, für die eine DSFA obligatorisch ist. Eine durchgeführte DSFA muss dokumentiert, regelmäßig überprüft und bei wesentlichen Änderungen der Verarbeitungstätigkeit aktualisiert werden.

Rechtliche Grundlage

Art. 35 DSGVO

Praxisbeispiel

Ihre Organisation plant die Einführung eines KI-basierten Bewerbermanagementsystems, das Lebensläufe automatisiert analysiert und Bewerber anhand von Algorithmen vorselektiert. Als Compliance Officer erkennen Sie, dass es sich um eine automatisierte Entscheidungsfindung mit erheblichen Auswirkungen auf die betroffenen Personen handelt. Sie leiten eine DSFA ein, identifizieren Risiken wie potenzielle Diskriminierung durch den Algorithmus und unzureichende Transparenz gegenüber Bewerbern und empfehlen Maßnahmen wie manuelle Überprüfung aller ablehnenden Entscheidungen, eine detaillierte Datenschutzinformation und regelmäßige Bias-Audits des Algorithmus. Erst nach Umsetzung dieser Maßnahmen und Freigabe durch den Datenschutzbeauftragten genehmigen Sie den Produktivbetrieb.

Häufige Fragen

Eine DSFA ist verpflichtend, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die betroffenen Personen birgt. Dies gilt insbesondere bei Profiling, umfangreicher Verarbeitung besonderer Datenkategorien und systematischer Videoüberwachung. Die Datenschutzkonferenz hat eine verbindliche Positivliste veröffentlicht.
Eine DSFA umfasst typischerweise vier Schritte: Beschreibung der Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikoanalyse für Betroffene und Definition von Abhilfemaßnahmen. Der Datenschutzbeauftragte muss einbezogen werden. Verbleiben hohe Restrisiken, ist die Aufsichtsbehörde zu konsultieren.
Ja. Eine DSFA ist kein einmaliges Dokument, sondern muss bei wesentlichen Änderungen der Verarbeitungstätigkeit überprüft und aktualisiert werden. Auch ohne Änderungen empfiehlt sich eine regelmäßige Überprüfung, mindestens alle zwei bis drei Jahre.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Personenbezogene Daten Technische und organisatorische Maßnahmen (TOMs) Risikobewertung (Risk Assessment) Datenschutzbeauftragter (DSB) Rechenschaftspflicht (Accountability)
Zurück zum Glossar