Datenschutz-Folgenabschätzung (DSFA) in 6 Schritten durchführen
Eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) ist verpflichtend, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ birgt. Pflicht insbesondere bei umfangreichem Profiling, Verarbeitung sensibler Daten in großem Umfang oder systematischer Überwachung öffentlich zugänglicher Bereiche. Die Aufsichtsbehörden veröffentlichen DSFA-Pflicht-Listen (Black List nach Art. 35 Abs. 4). Wird ein hohes Restrisiko festgestellt, ist Konsultation der Aufsichtsbehörde Pflicht (Art. 36). Keine Rechtsberatung.
Die DSFA ist Risiko-Management im Datenschutz: strukturiert prüfen, was schiefgehen kann, und ob die geplanten Maßnahmen das Risiko ausreichend senken. Pflicht ist sie nicht für alles, aber Best Practice oft auch bei mittlerem Risiko.
Sechs Schritte nach der Methodik des Europäischen Datenschutzausschusses (WP248, Leitlinien zu DSFA).
Schritt 1: DSFA-Pflicht prüfen (Schwellwert-Analyse)
Triggert die Verarbeitung eine der drei Regelbeispiele aus Art. 35 Abs. 3? Liegt sie auf der Black List der zuständigen Aufsichtsbehörde (in Deutschland die DSK-Listen je Land)? Wer nur ein Kriterium der WP248-Liste erfüllt, sollte prüfen; wer zwei erfüllt, hat klar DSFA-Pflicht. Ergebnis schriftlich dokumentieren, auch bei „nicht erforderlich“.
Schritt 2: Verarbeitung systematisch beschreiben
Was passiert genau? Datenfluss-Diagramm, Zwecke, Datenkategorien, Empfänger, Speicherorte (auch Drittland), Speicherdauer, eingesetzte Technologien (KI, Cloud, Mobile), Beteiligte (DSB, Fachbereich, Auftragsverarbeiter). Ohne präzise Beschreibung ist jede Risikoanalyse Spekulation. Tipp: BPMN- oder einfache Flowchart-Skizze, Foto reicht oft.
Schritt 3: Notwendigkeit und Verhältnismäßigkeit prüfen
Ist die Verarbeitung erforderlich, um den Zweck zu erreichen, oder gibt es mildere Mittel? Datenminimierung (Art. 5 Abs. 1 lit. c) ist eine eigene Pflicht: weniger Daten, kürzere Speicherung, Pseudonymisierung. Beispiel: Brauche ich für ein Bonus-Programm wirklich Geburtsdatum und vollständige Adresse, oder reichen E-Mail und Postleitzahl?
Schritt 4: Risiken für Betroffene identifizieren und bewerten
Risiko = Eintrittswahrscheinlichkeit × Schwere des Schadens. Typische Risiken: unbefugter Zugriff, Identitätsdiebstahl, Diskriminierung durch fehlerhafte Algorithmen, Profil-Erstellung gegen Interesse der Betroffenen, finanzielle Schäden, Stigmatisierung, Verlust von Kontrolle. Risiko-Matrix (3×3 oder 5×5) hilft bei der Visualisierung. Bewertung pro Risiko, nicht pauschal.
Schritt 5: Maßnahmen zur Risikoreduktion definieren
Pro Risiko: Welche TOMs senken die Eintrittswahrscheinlichkeit oder die Schwere? Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkung, Schulung, Vier-Augen-Prinzip, automatische Löschung, transparentere Information, einfacher Widerruf. Restrisiko nach Maßnahmen bewerten, wenn weiterhin hoch: Schritt 6.
Schritt 6: Konsultation und kontinuierliche Bewertung
Restrisiko trotz Maßnahmen hoch? Konsultation der Aufsichtsbehörde nach Art. 36. Antwort innerhalb 8 Wochen. DSB intern hinzuziehen (Pflicht nach Art. 35 Abs. 2). Betroffene oder Vertreter ggf. einbeziehen (Art. 35 Abs. 9). Nach Live-Gang: regelmäßige Bewertung, ob DSFA noch passt, bei wesentlichen Änderungen aktualisieren.
Fazit
Wann ist eine DSFA besonders typisch?
Klassische Pflicht-Trigger: KI-basierte HR-Entscheidungen, Mitarbeitenden-Monitoring, Videoüberwachung öffentlicher Bereiche, Gesundheits-Apps, IoT mit Personenbezug, biometrische Authentifizierung, Scoring-Systeme, Kinder-Daten in größerem Umfang, neue Tracking-Technologien.
DSFA-Tools
Frei verfügbar: PIA-Tool der CNIL (französische Aufsichtsbehörde, mehrsprachig), Vorlagen des BayLDA und LfDI Baden-Württemberg. Kommerziell: DataGuard, OneTrust, Caralegal, meist integriert mit VVT und Vendor-Management.
FAQs
Fachkraft für Datenschutz und -sicherheit (IHK)
Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.
Kostenlos testenthekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))