Datenschutz-Folgenabschätzung

Die Datenschutz-Grundverordnung (DSGVO) stellt hohe Anforderungen an den Umgang mit personenbezogenen Daten. Besonders dann, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt, schreibt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) vor.

Eine DSFA ist nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiges Instrument, um Risiken frühzeitig zu identifizieren, zu minimieren und Bußgelder oder Imageschäden zu vermeiden.


Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Die Datenschutz-Folgenabschätzung ist ein systematischer Prozess, mit dem Unternehmen prüfen und dokumentieren:

  • welche Risiken für personenbezogene Daten bestehen,
  • welche Schutzmaßnahmen erforderlich sind,
  • und ob die geplante Verarbeitung DSGVO-konform ist.

Sie dient dazu, präventiv Datenschutzverstöße zu verhindern und den Nachweis der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu erbringen.


Rechtliche Grundlage: Art. 35 DSGVO

Artikel 35 DSGVO schreibt vor, dass Unternehmen vor Beginn der Datenverarbeitung prüfen müssen, ob ein hohes Risiko besteht. Wichtige Anforderungen sind:

  • Frühzeitige Durchführung: Die DSFA muss vor dem Start der Verarbeitung abgeschlossen sein.
  • Einbeziehung des Datenschutzbeauftragten: Bei der Durchführung muss der Datenschutzbeauftragte beratend tätig sein.
  • Dokumentationspflicht: Ergebnisse und Maßnahmen müssen schriftlich festgehalten werden.
  • Behördliche Konsultation: Wenn die verbleibenden Risiken trotz Maßnahmen hoch sind, muss die zuständige Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO).

Wann ist die Durchführung einer DSFA verpflichtend?

Eine DSFA muss immer dann durchgeführt werden, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Typische Auslöser für eine DSFA sind, vgl. auch Art. 35 Abs. 3 DSGVO:

  • Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, biometrische Daten)
  • Umfangreiche Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung)
  • Profiling oder systematische Bewertung von Personen
  • Verarbeitung großer Mengen sensibler Kundendaten
  • Einsatz neuer Technologien, deren Auswirkungen noch nicht klar absehbar sind
  • Einführung eines neuen Videoüberwachungssystems in einem Einkaufszentrum
  • Implementierung von KI-gestützten Bewerbungs- oder Analysetools
  • Betrieb einer Gesundheits-App mit sensiblen Patientendaten
  • Big-Data-Analysen im Marketing-Bereich

Hinweis: Die deutschen Datenschutzaufsichtsbehörden veröffentlichen Positivlisten (auch Muss-Listen genannt, vgl. auch Art. 35 Abs. 4 DSGVO), in denen bestimmte Verarbeitungstätigkeiten genannt sind, für die eine DSFA zwingend erforderlich ist. Die Listen der Landesaufsichtsbehörden variieren hinsichtlich der vorgeschriebenen Verarbeitungstätigkeiten. Im Wesentlichen orientieren sich die Listen an der Liste der Datenschutzkonferenz (DSK)


Ablauf einer DSFA (Übersicht)

Eine DSFA folgt einem klar strukturierten Prozess. Im Folgenden werden die typischen Schritte dargestellt:

  1. Beschreibung der Verarbeitung
    • Zweck der Datenverarbeitung
    • Art der verarbeiteten personenbezogenen Daten
    • Kategorien betroffener Personen
    • eingesetzte Systeme und Technologien
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit
    • Warum ist die Verarbeitung erforderlich?
    • Gibt es weniger eingriffsintensive Alternativen?
    • Ist der Zweck klar definiert und legitim?
  3. Risikoanalyse
    • Identifikation möglicher Risiken für Betroffene
    • Bewertung der Eintrittswahrscheinlichkeit und Schwere der Folgen
    • Beispielrisiken: Identitätsdiebstahl, Diskriminierung, Verlust der Vertraulichkeit
  4. Festlegung von Schutzmaßnahmen
    • Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
    • Beispiel: Verschlüsselung, Zugriffsbeschränkungen, Pseudonymisierung
  5. Dokumentation und Entscheidung
    • Alle Ergebnisse werden schriftlich dokumentiert.
    • Wenn Restrisiken bestehen, muss die Aufsichtsbehörde konsultiert werden.

Unsere Leistungen: Professionelle Unterstützung bei der DSFA

Als erfahrene externe Datenschutzbeauftragte bzw. Datenschutzberater unterstützen wir Unternehmen bei der Umsetzung der Anforderungen aus Art. 35 DSGVO.

  1. Prüfung der Notwendigkeit
    Wir bewerten, ob Ihre geplante Verarbeitung eine DSFA erfordert.
  2. Durchführung der DSFA
    Wir begleiten Sie durch den gesamten Prozess, von der Risikoanalyse bis zur Dokumentation.
  3. Erstellung rechtssicherer Dokumentationen
    Wir liefern alle notwendigen Unterlagen, um gegenüber Aufsichtsbehörden und Geschäftspartnern den Datenschutz nachzuweisen.
  4. Schulungen und Sensibilisierung
    Wir schulen Ihre Mitarbeiter, damit sie Datenschutzrisiken frühzeitig erkennen.
  5. Laufende Betreuung
    Wir begleiten Sie auch nach Abschluss der DSFA bei der Umsetzung und Aktualisierung der Schutzmaßnahmen.

Die Datenschutz-Folgenabschätzung ist ein unverzichtbares Werkzeug, um risikoreiche Datenverarbeitungen DSGVO-konform zu gestalten. Mit professioneller Unterstützung können Sie Bußgelder vermeiden, Vertrauen aufbauen und Ihr Unternehmen rechtssicher aufstellen.


Checkliste: Brauchen Sie eine DSFA?

  • Werden sensible Daten in großem Umfang verarbeitet?
  • Werden neue Technologien eingesetzt, deren Auswirkungen noch unklar sind?
  • Erfolgt eine systematische Überwachung von Personen?
  • Werden Daten für Profiling oder automatisierte Entscheidungen genutzt?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten müssen, sollten Sie prüfen, ob auch eine DSFA verpflichtend ist. Gerne übernehmen wir die Überprüfung für Sie.

+49 911 7903034

info@it-rechtsberater.de


© 2025 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung