Datenschutz & IT-Sicherheit

Datenschutz-Folgenabschätzung (DSFA) in 6 Schritten durchführen

Zuletzt aktualisiert:
In einem Satz

Eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) ist verpflichtend, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ birgt. Pflicht insbesondere bei umfangreichem Profiling, Verarbeitung sensibler Daten in großem Umfang oder systematischer Überwachung öffentlich zugänglicher Bereiche. Die Aufsichtsbehörden veröffentlichen DSFA-Pflicht-Listen (Black List nach Art. 35 Abs. 4). Wird ein hohes Restrisiko festgestellt, ist Konsultation der Aufsichtsbehörde Pflicht (Art. 36). Keine Rechtsberatung.

Die DSFA ist Risiko-Management im Datenschutz: strukturiert prüfen, was schiefgehen kann, und ob die geplanten Maßnahmen das Risiko ausreichend senken. Pflicht ist sie nicht für alles, aber Best Practice oft auch bei mittlerem Risiko.

Sechs Schritte nach der Methodik des Europäischen Datenschutzausschusses (WP248, Leitlinien zu DSFA).

1

Schritt 1: DSFA-Pflicht prüfen (Schwellwert-Analyse)

Triggert die Verarbeitung eine der drei Regelbeispiele aus Art. 35 Abs. 3? Liegt sie auf der Black List der zuständigen Aufsichtsbehörde (in Deutschland die DSK-Listen je Land)? Wer nur ein Kriterium der WP248-Liste erfüllt, sollte prüfen; wer zwei erfüllt, hat klar DSFA-Pflicht. Ergebnis schriftlich dokumentieren, auch bei „nicht erforderlich“.

2

Schritt 2: Verarbeitung systematisch beschreiben

Was passiert genau? Datenfluss-Diagramm, Zwecke, Datenkategorien, Empfänger, Speicherorte (auch Drittland), Speicherdauer, eingesetzte Technologien (KI, Cloud, Mobile), Beteiligte (DSB, Fachbereich, Auftragsverarbeiter). Ohne präzise Beschreibung ist jede Risikoanalyse Spekulation. Tipp: BPMN- oder einfache Flowchart-Skizze, Foto reicht oft.

3

Schritt 3: Notwendigkeit und Verhältnismäßigkeit prüfen

Ist die Verarbeitung erforderlich, um den Zweck zu erreichen, oder gibt es mildere Mittel? Datenminimierung (Art. 5 Abs. 1 lit. c) ist eine eigene Pflicht: weniger Daten, kürzere Speicherung, Pseudonymisierung. Beispiel: Brauche ich für ein Bonus-Programm wirklich Geburtsdatum und vollständige Adresse, oder reichen E-Mail und Postleitzahl?

4

Schritt 4: Risiken für Betroffene identifizieren und bewerten

Risiko = Eintrittswahrscheinlichkeit × Schwere des Schadens. Typische Risiken: unbefugter Zugriff, Identitätsdiebstahl, Diskriminierung durch fehlerhafte Algorithmen, Profil-Erstellung gegen Interesse der Betroffenen, finanzielle Schäden, Stigmatisierung, Verlust von Kontrolle. Risiko-Matrix (3×3 oder 5×5) hilft bei der Visualisierung. Bewertung pro Risiko, nicht pauschal.

5

Schritt 5: Maßnahmen zur Risikoreduktion definieren

Pro Risiko: Welche TOMs senken die Eintrittswahrscheinlichkeit oder die Schwere? Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkung, Schulung, Vier-Augen-Prinzip, automatische Löschung, transparentere Information, einfacher Widerruf. Restrisiko nach Maßnahmen bewerten, wenn weiterhin hoch: Schritt 6.

6

Schritt 6: Konsultation und kontinuierliche Bewertung

Restrisiko trotz Maßnahmen hoch? Konsultation der Aufsichtsbehörde nach Art. 36. Antwort innerhalb 8 Wochen. DSB intern hinzuziehen (Pflicht nach Art. 35 Abs. 2). Betroffene oder Vertreter ggf. einbeziehen (Art. 35 Abs. 9). Nach Live-Gang: regelmäßige Bewertung, ob DSFA noch passt, bei wesentlichen Änderungen aktualisieren.

Fazit

Wann ist eine DSFA besonders typisch?

Klassische Pflicht-Trigger: KI-basierte HR-Entscheidungen, Mitarbeitenden-Monitoring, Videoüberwachung öffentlicher Bereiche, Gesundheits-Apps, IoT mit Personenbezug, biometrische Authentifizierung, Scoring-Systeme, Kinder-Daten in größerem Umfang, neue Tracking-Technologien.

DSFA-Tools

Frei verfügbar: PIA-Tool der CNIL (französische Aufsichtsbehörde, mehrsprachig), Vorlagen des BayLDA und LfDI Baden-Württemberg. Kommerziell: DataGuard, OneTrust, Caralegal, meist integriert mit VVT und Vendor-Management.

FAQs

Reicht die DSFA einmalig oder muss sie wiederholt werden?
Art. 35 Abs. 11 spricht von Überprüfung „insbesondere bei einer Änderung des mit den Verarbeitungsvorgängen verbundenen Risikos“. Praktisch: DSFA-Review im jährlichen Datenschutz-Audit, ad-hoc bei größeren Änderungen oder Vorfällen.
Wer macht die DSFA. DSB oder Fachbereich?
Art. 35 Abs. 2 verlangt Hinzuziehung des DSB. Praxis: Workshop mit Fachbereich, DSB, IT-Sicherheit, ggf. Betriebsrat. DSB schreibt nicht für den Fachbereich, er prüft und gibt Empfehlungen.
Was passiert, wenn ich eine DSFA fälschlich nicht mache?
Aufsichtsbehörden sanktionieren fehlende DSFAs vor allem dann, wenn parallel eine Datenpanne auftritt, das macht den Verstoß sichtbar. Strategie: lieber DSFA-light dokumentieren als gar nichts schreiben.
Frameworks praktisch anwenden

Fachkraft für Datenschutz und -sicherheit (IHK)

Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.

Kostenlos testen
Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.