Datenschutz-Folgenabschätzung (DSFA) – Wann und wie ist sie durchzuführen?
Helpdesk: Datenschutz-Folgenabschätzung (DSFA) – Wann und wie ist sie durchzuführen?
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Die Datenschutz-Folgenabschätzung (DSFA) ist eine Risikobewertung für bestimmte Datenverarbeitungsprozesse, die gemäß Art. 35 DSGVO mit hohen Risiken für die Rechte und Freiheiten betroffener Personen verbunden sind. Sie dient dazu, Datenschutzrisiken frühzeitig zu erkennen und geeignete Maßnahmen zur Risikominimierung zu ergreifen.
Wann ist eine DSFA erforderlich?
Eine DSFA muss durchgeführt werden, wenn ein Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Betroffenen darstellt. Dies ist z. B. der Fall bei:
✅ Einsatz neuer Technologien, die eine umfangreiche Datenverarbeitung ermöglichen.
✅ Automatisierten Einzelentscheidungen oder Profiling, die erhebliche Auswirkungen auf Betroffene haben.
✅ Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten).
✅ Überwachung öffentlich zugänglicher Bereiche, insbesondere durch Videoüberwachung.
Beispiele für DSFA-pflichtige Prozesse:
✔ Einführung von KI-gestützten Bewerbungsverfahren.
✔ Überwachungssysteme mit Gesichtserkennung.
✔ Großangelegte Kundenprofile für personalisierte Werbung.
Wann ist keine DSFA erforderlich?
🚫 Verarbeitung von gewöhnlichen Personaldaten (Ausnahme: zentrale Personalverwaltung in internationalen Konzernen).
🚫 Verarbeitung durch Ärzte oder Anwälte, die besonderen Geheimhaltungspflichten unterliegen.
🚫 Datenverarbeitung, die keine neuen oder besonders riskanten Technologien nutzt.
Wie wird eine DSFA durchgeführt?
Die DSGVO gibt keine feste Methode vor, aber eine systematische Risikobeurteilung ist entscheidend. Geeignete Methoden sind:
📌 ISO 29134 – Internationaler Standard für Datenschutz-Folgenabschätzungen.
📌 SDM-Methode der Datenschutzkonferenz – Standardisierte Methodik der deutschen Aufsichtsbehörden.
📌 CNIL-Methode – Vorgehen der französischen Datenschutzbehörde.
Welche Schritte umfasst eine DSFA?
1️⃣ Schwellenwertanalyse: Prüfung, ob eine DSFA erforderlich ist.
2️⃣ Beschreibung der Verarbeitung: Zweck, Datenkategorien, betroffene Personen.
3️⃣ Bewertung der Notwendigkeit und Verhältnismäßigkeit.
4️⃣ Risikoanalyse: Wahrscheinlichkeit und Schwere potenzieller Datenschutzverstöße.
5️⃣ Maßnahmen zur Risikominimierung (z. B. Verschlüsselung, Pseudonymisierung).
6️⃣ Dokumentation: Alle Entscheidungen müssen schriftlich festgehalten werden.
Fazit
📌 Eine DSFA ist erforderlich, wenn eine Datenverarbeitung ein hohes Risiko für Betroffene darstellt.
📌 Personaldaten erfordern in der Regel keine DSFA, es sei denn, sie werden in großem Umfang verarbeitet.
📌 Es gibt keine feste Methode, aber eine systematische Risikobewertung ist Pflicht.
📌 Unternehmen sollten die DSFA als laufenden Prozess betrachten und regelmäßig überprüfen.
💡 Tipp: Auch wenn keine DSFA erforderlich ist, muss dies dokumentiert und begründet werden! 🚀
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Die Datenschutz-Folgenabschätzung (DSFA) ist eine Risikobewertung für bestimmte Datenverarbeitungsprozesse, die gemäß Art. 35 DSGVO mit hohen Risiken für die Rechte und Freiheiten betroffener Personen verbunden sind. Sie dient dazu, Datenschutzrisiken frühzeitig zu erkennen und geeignete Maßnahmen zur Risikominimierung zu ergreifen.
Wann ist eine DSFA erforderlich?
Eine DSFA muss durchgeführt werden, wenn ein Verarbeitungsvorgang voraussichtlich ein hohes Risiko für die Betroffenen darstellt. Dies ist z. B. der Fall bei:
✅ Einsatz neuer Technologien, die eine umfangreiche Datenverarbeitung ermöglichen.
✅ Automatisierten Einzelentscheidungen oder Profiling, die erhebliche Auswirkungen auf Betroffene haben.
✅ Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten).
✅ Überwachung öffentlich zugänglicher Bereiche, insbesondere durch Videoüberwachung.
Beispiele für DSFA-pflichtige Prozesse:
✔ Einführung von KI-gestützten Bewerbungsverfahren.
✔ Überwachungssysteme mit Gesichtserkennung.
✔ Großangelegte Kundenprofile für personalisierte Werbung.
Wann ist keine DSFA erforderlich?
🚫 Verarbeitung von gewöhnlichen Personaldaten (Ausnahme: zentrale Personalverwaltung in internationalen Konzernen).
🚫 Verarbeitung durch Ärzte oder Anwälte, die besonderen Geheimhaltungspflichten unterliegen.
🚫 Datenverarbeitung, die keine neuen oder besonders riskanten Technologien nutzt.
Wie wird eine DSFA durchgeführt?
Die DSGVO gibt keine feste Methode vor, aber eine systematische Risikobeurteilung ist entscheidend. Geeignete Methoden sind:
📌 ISO 29134 – Internationaler Standard für Datenschutz-Folgenabschätzungen.
📌 SDM-Methode der Datenschutzkonferenz – Standardisierte Methodik der deutschen Aufsichtsbehörden.
📌 CNIL-Methode – Vorgehen der französischen Datenschutzbehörde.
Welche Schritte umfasst eine DSFA?
1️⃣ Schwellenwertanalyse: Prüfung, ob eine DSFA erforderlich ist.
2️⃣ Beschreibung der Verarbeitung: Zweck, Datenkategorien, betroffene Personen.
3️⃣ Bewertung der Notwendigkeit und Verhältnismäßigkeit.
4️⃣ Risikoanalyse: Wahrscheinlichkeit und Schwere potenzieller Datenschutzverstöße.
5️⃣ Maßnahmen zur Risikominimierung (z. B. Verschlüsselung, Pseudonymisierung).
6️⃣ Dokumentation: Alle Entscheidungen müssen schriftlich festgehalten werden.
Fazit
📌 Eine DSFA ist erforderlich, wenn eine Datenverarbeitung ein hohes Risiko für Betroffene darstellt.
📌 Personaldaten erfordern in der Regel keine DSFA, es sei denn, sie werden in großem Umfang verarbeitet.
📌 Es gibt keine feste Methode, aber eine systematische Risikobewertung ist Pflicht.
📌 Unternehmen sollten die DSFA als laufenden Prozess betrachten und regelmäßig überprüfen.
💡 Tipp: Auch wenn keine DSFA erforderlich ist, muss dies dokumentiert und begründet werden! 🚀
Aktualisiert am: 25/02/2025
Danke!