Skip to content

Datenschutz-Folgenabschätzung (DSFA)🔗

Die Datenschutz-Folgenabschätzung (DSFA, engl. Data Protection Impact Assessment, DPIA) ist eine systematische Bewertung von Verarbeitungen mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen gemäß Art. 35 DSGVO.

Wann ist eine DSFA erforderlich?🔗

Gemäß Art. 35 DSGVO ist eine DSFA erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat.

Indikatoren:

  • Systematische Bewertung persönlicher Aspekte (Profiling, Scoring)
  • Automatisierte Entscheidungsfindung mit Rechtswirkung (z.B. Kredit-Scoring)
  • Systematische umfangreiche Überwachung (z.B. Videoüberwachung)
  • Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO: Gesundheit, biometrische Daten)
  • Innovative Technologien (z.B. KI, Gesichtserkennung)

DSFA durchführen🔗

1. DSFA anlegen🔗

  1. Öffne Datenschutzmanagement → Datenschutzfolgenabschätzung
  2. Klicke auf + DSFA hinzufügen
  3. Verknüpfe mit Verarbeitungstätigkeit (aus VVT)

2. Inhalte der DSFA🔗

Beschreibung der Verarbeitung🔗

  • Zweck und Art der Verarbeitung
  • Kategorien betroffener Personen und Daten
  • Technologien und Systeme
  • Datenflüsse

Notwendigkeit und Verhältnismäßigkeit🔗

Bewertung nach Art. 5 DSGVO:

  • Erforderlichkeit
  • Datenminimierung
  • Speicherbegrenzung
  • Zweckbindung

Risiken für Rechte und Freiheiten🔗

Identifikation von Risiken:

  • Unbefugter Zugriff
  • Verlust/Zerstörung von Daten
  • Unberechtigte Offenlegung
  • Diskriminierung durch automatisierte Entscheidungen

Bewertung:

  • Eintrittswahrscheinlichkeit (unwahrscheinlich / möglich / wahrscheinlich)
  • Schwere der Auswirkung (gering / mittel / hoch / sehr hoch)

Maßnahmen zur Risikominderung🔗

Technische und organisatorische Maßnahmen (TOMs):

  • Pseudonymisierung / Anonymisierung
  • Verschlüsselung
  • Zugriffskontrollen
  • Logging & Monitoring
  • Backup & Wiederherstellung
  • Incident-Response-Pläne

Maßnahmen können aus ISMS-Modul übernommen werden.

Restrisiko-Bewertung🔗

  • Ist das Restrisiko akzeptabel?
  • Wenn neinKonsultation der Aufsichtsbehörde erforderlich (Art. 36 DSGVO)

Stellungnahme Datenschutzbeauftragter🔗

Gemäß Art. 35 Abs. 2 DSGVO muss der Datenschutzbeauftragte (DSB) konsultiert werden.

Genehmigung und Workflow🔗

Workflow-Status:

  1. Entwurf → Erstellung durch Fachbereich
  2. In Prüfung → Review durch Datenschutzbeauftragten
  3. Konsultation erforderlich → Bei sehr hohem Restrisiko
  4. Genehmigt → DSFA abgeschlossen, Verarbeitung darf starten

Regelmäßige Überprüfung🔗

DSFAs müssen regelmäßig aktualisiert werden:

  • Bei wesentlichen Änderungen der Verarbeitung
  • Jährliche Überprüfung empfohlen
  • Bei neuen Risiken (z.B. Datenpanne)

Verbindung zu anderen Modulen🔗

  • VVT → Basis für DSFA
  • Schwellwertanalyse → Ermittlung der DSFA-Pflicht
  • Feststellungen & Maßnahmen → Umsetzung der Risikominderungs-Maßnahmen
  • ISMS → Übernahme von TOMs

Ansicht🔗

DSFA Übersicht