DSGVO

Wann + wie führe ich eine DSFA nach DSGVO Art. 35 durch?

Zuletzt aktualisiert:

Was DSFA ist

Daten-Schutz-Folgen-Abschätzung (DSFA) nach DSGVO Art. 35 - strukturierte Risiko-Bewertung von Verarbeitungs-Vorgängen. Ziel: hohe Risiken für Betroffene erkennen + reduzieren vor Start der Verarbeitung.

Wann Pflicht

  • Systematische + umfangreiche Bewertung (Profiling).

  • Sensitive Daten in grossem Umfang (Gesundheit, Religion, Ethnizität).

  • Systematische Überwachung öffentlicher Bereiche (Video).

  • Bei neuen Technologien (z. B. KI, Biometrie).

  • Liste der Datenschutz-Aufsicht (DSK-Schwellwerte).

Typische Pflicht-Fälle

  • Mitarbeitenden-Überwachung.

  • Bewerbungs-KI-Screening.

  • Health-App mit sensitiven Daten.

  • Standortbasierte Werbung.

  • Scoring-Systeme.

  • Grossflaechige Video-Überwachung.

Pflicht-Inhalte

  1. Beschreibung der Verarbeitung (Zweck, Mittel, Daten, Empfänger).

  2. Bewertung Notwendigkeit + Verhaeltnismaessigkeit.

  3. Risiken für Betroffene erkennen + bewerten.

  4. Geplante Mitigationen + Schutz-Massnahmen.

  5. Konsultation der Datenschutz-Beauftragter (wenn benannt).

  6. Ggf. Konsultation Aufsichts-Behörde (bei Rest-Risiko hoch).

Risiko-Bewertung

  • Schwere des Schadens (gering / mittel / schwer / sehr schwer).

  • Wahrscheinlichkeit (gering / mittel / hoch / sehr hoch).

  • Schaden-Arten: physisch, materiell, immateriell.

  • Folgen wie Diskriminierung, Identitäts-Verlust, Rufschaedigung.

  • Vulnerable Gruppen besonders bedacht.

Mitigations-Optionen

  1. Daten-Minimierung - weniger Daten erheben.

  2. Anonymisierung / Pseudonymisierung.

  3. Verschlüsselung at-Rest + in-Transit.

  4. Zugriffskontrollen + Logs.

  5. Löschkonzept.

  6. Transparenz + Betroffenenrechte.

  7. Vertragliche Sicherungen mit Partnern.

Konsultation Aufsichts-Behörde

  • Wenn Rest-Risiko trotz Massnahmen hoch.

  • DSFA + Antrag an Aufsichts-Behörde.

  • Behörde antwortet in 8 Wochen (Verlängerung möglich).

  • Bindendes Veto oder Auflagen möglich.

Werkzeuge

  • CNIL-PIA-Tool (kostenlos, mehrsprachig).

  • OneTrust DPIA-Modul.

  • Otris, intrapool, RSPS.

  • Excel-Templates der DSK.

  • BSI Standard-Datenschutzmodell (SDM).

Dokumentation

  • DSFA-Bericht versioniert ablegen.

  • Re-Bewertung bei wesentlicher Änderung.

  • Verbindung zum Verfahrens-Verzeichnis.

  • Bei Audit: vorlage-Pflicht.

Anti-Patterns

  • DSFA nach Deployment statt vorher.

  • Generic DSFA-Template ohne konkrete Analyse.

  • Datenschutz-Beauftragter nicht eingebunden.

  • Risiken klein-geredet, um keine DSFA nötig zu haben.

  • DSFA einmal, dann nie wieder reviewed.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.