Datenschutz & Sicherheit

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Zuletzt aktualisiert:

Wann eine DSFA Pflicht ist

Pflicht, wenn aus einer Prognose-Entscheidung heraus hohes Risiko für Rechte und Freiheiten Betroffener droht und dieses Risiko nicht durch technische Maßnahmen ausgeschlossen werden kann. Whitelists der Aufsichtsbehörden helfen: großflächige Videoüberwachung, biometrische Daten zur Identifikation, Verarbeitung genetischer Daten, Profiling im großen Maßstab. Solche Verarbeitungen erfordern immer eine DSFA.

Whitelist und Blacklist

Aufsichtsbehörden veröffentlichen regelmäßig Whitelists (immer DSFA) und teils Blacklists (nie DSFA nötig). Wer eine geplante Verarbeitung in der Whitelist findet, muss DSFA machen. Im Graubereich: lieber durchführen, das kostet zwei bis fünf Tage Arbeit, schützt aber gegen Bußgelder. Im Zweifel mit dem DSB klären.

Inhalt einer DSFA

Vier Pflichtteile: 1) Beschreibung der Verarbeitung (Zweck, Daten, Empfänger, Dauer). 2) Notwendigkeitsprüfung (ist die Datenmenge wirklich nötig?). 3) Risikobewertung (was sind die Worst-Case-Szenarien für Betroffene?). 4) Schutzmaßnahmen plus verbleibendes Restrisiko (was bleibt trotz Maßnahmen offen?). Bei verbleibendem hohem Risiko: Konsultation der Aufsichtsbehörde vor Start.

Häufiger Mythos: DSFA für alles

Bei DSGVO-Einführung herrschte Panik, dass für jede Mini-Verarbeitung eine DSFA nötig sei. Falsch. DSFAs sind die Ausnahme, nicht die Regel. Eine normale Mailverwaltung im Mittelstand braucht keine DSFA, ein neues HR-System mit Performance-Analytics dagegen schon. Mit den Whitelists als Filter kommt man auf 1 bis 5 DSFAs pro Jahr in mittleren Unternehmen, nicht 50.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.