Wann + wie führe ich eine DSFA nach DSGVO Art. 35 durch?
Was DSFA ist
Daten-Schutz-Folgen-Abschätzung (DSFA) nach DSGVO Art. 35 - strukturierte Risiko-Bewertung von Verarbeitungs-Vorgängen. Ziel: hohe Risiken für Betroffene erkennen + reduzieren vor Start der Verarbeitung.
Wann Pflicht
Systematische + umfangreiche Bewertung (Profiling).
Sensitive Daten in grossem Umfang (Gesundheit, Religion, Ethnizität).
Systematische Überwachung öffentlicher Bereiche (Video).
Bei neuen Technologien (z. B. KI, Biometrie).
Liste der Datenschutz-Aufsicht (DSK-Schwellwerte).
Typische Pflicht-Fälle
Mitarbeitenden-Überwachung.
Bewerbungs-KI-Screening.
Health-App mit sensitiven Daten.
Standortbasierte Werbung.
Scoring-Systeme.
Grossflaechige Video-Überwachung.
Pflicht-Inhalte
Beschreibung der Verarbeitung (Zweck, Mittel, Daten, Empfänger).
Bewertung Notwendigkeit + Verhaeltnismaessigkeit.
Risiken für Betroffene erkennen + bewerten.
Geplante Mitigationen + Schutz-Massnahmen.
Konsultation der Datenschutz-Beauftragter (wenn benannt).
Ggf. Konsultation Aufsichts-Behörde (bei Rest-Risiko hoch).
Risiko-Bewertung
Schwere des Schadens (gering / mittel / schwer / sehr schwer).
Wahrscheinlichkeit (gering / mittel / hoch / sehr hoch).
Schaden-Arten: physisch, materiell, immateriell.
Folgen wie Diskriminierung, Identitäts-Verlust, Rufschaedigung.
Vulnerable Gruppen besonders bedacht.
Mitigations-Optionen
Daten-Minimierung - weniger Daten erheben.
Anonymisierung / Pseudonymisierung.
Verschlüsselung at-Rest + in-Transit.
Zugriffskontrollen + Logs.
Löschkonzept.
Transparenz + Betroffenenrechte.
Vertragliche Sicherungen mit Partnern.
Konsultation Aufsichts-Behörde
Wenn Rest-Risiko trotz Massnahmen hoch.
DSFA + Antrag an Aufsichts-Behörde.
Behörde antwortet in 8 Wochen (Verlängerung möglich).
Bindendes Veto oder Auflagen möglich.
Werkzeuge
CNIL-PIA-Tool (kostenlos, mehrsprachig).
OneTrust DPIA-Modul.
Otris, intrapool, RSPS.
Excel-Templates der DSK.
BSI Standard-Datenschutzmodell (SDM).
Dokumentation
DSFA-Bericht versioniert ablegen.
Re-Bewertung bei wesentlicher Änderung.
Verbindung zum Verfahrens-Verzeichnis.
Bei Audit: vorlage-Pflicht.
Anti-Patterns
DSFA nach Deployment statt vorher.
Generic DSFA-Template ohne konkrete Analyse.
Datenschutz-Beauftragter nicht eingebunden.
Risiken klein-geredet, um keine DSFA nötig zu haben.
DSFA einmal, dann nie wieder reviewed.
thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))