Jetzt anfragen
Glossar

Datenschutz-Folgenabschätzung (DSFA)

Die Datenschutz-Folgenabschätzung (DSFA) ist eine vorab durchzuführende Risikoanalyse für Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen.

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung – kurz DSFA, englisch DPIA – ist ein in Art. 35 DSGVO verankertes Instrument der Risikovorsorge. Immer wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche die Folgen vorab systematisch bewerten – bevor die Verarbeitung beginnt.

Die DSFA ist damit kein bürokratischer Selbstzweck, sondern eine strukturierte Denkübung: Was kann schiefgehen, wie wahrscheinlich ist es, wie schwer wären die Folgen für die Betroffenen – und welche Maßnahmen senken das Risiko? Sie ist das Bindeglied zwischen dem Prinzip Privacy by Design und den konkreten technischen und organisatorischen Maßnahmen.

Wann ist eine DSFA Pflicht?

Eine DSFA ist nicht für jede Verarbeitung nötig, aber zwingend bei voraussichtlich hohem Risiko. Art. 35 Abs. 3 nennt drei Regelbeispiele, in denen sie praktisch immer erforderlich ist:

  • systematische und umfassende Bewertung persönlicher Aspekte, einschließlich Profiling, auf der automatisierte Entscheidungen beruhen;
  • umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten – etwa Gesundheits- oder biometrischer Daten;
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche, zum Beispiel umfangreiche Videoüberwachung.

Zusätzlich veröffentlichen die Aufsichtsbehörden Muss-Listen mit weiteren Fallgruppen, etwa beim Einsatz neuer Technologien oder bei der Verknüpfung großer Datenbestände. Auch viele KI-Anwendungen fallen darunter – ein Grund, warum ich die DSFA häufig im Rahmen der KI-Datenschutz-Beratung begleite.

So läuft eine DSFA ab

Eine DSFA folgt einem nachvollziehbaren Ablauf. Zuerst wird die geplante Verarbeitung systematisch beschrieben: Zwecke, Datenkategorien, Empfänger, Aufbewahrung. Dann werden Notwendigkeit und Verhältnismäßigkeit geprüft – greift die Verarbeitung wirklich nur so weit, wie es der Zweck verlangt? Anschließend werden die Risiken für die Betroffenen bewertet und Abhilfemaßnahmen festgelegt, bis ein vertretbares Restrisiko bleibt.

Der Datenschutzbeauftragte ist nach Art. 35 Abs. 2 verpflichtend einzubinden und berät während des gesamten Prozesses. Lässt sich ein hohes Risiko trotz aller Maßnahmen nicht ausreichend senken, ist vorab die Aufsichtsbehörde zu konsultieren. Eine sauber dokumentierte DSFA ist zugleich ein starker Nachweis für Ihre Rechenschaftspflicht. Wie das konkret aussieht, zeige ich im Ratgeber zur DSFA.

FAQ

Datenschutz-Folgenabschätzung (DSFA) – häufige Fragen

Wer muss die DSFA durchführen?

Verantwortlich ist immer der Verantwortliche, also das Unternehmen. Der Datenschutzbeauftragte berät und unterstützt, übernimmt aber nicht die Verantwortung. In der Praxis arbeite ich die DSFA gemeinsam mit den Fachverantwortlichen aus, die die Verarbeitung am besten kennen.

Was kostet es, eine DSFA zu unterlassen?

Eine unterlassene oder fehlerhafte DSFA kann ein eigenständiger Verstoß sein und mit Bußgeldern geahndet werden. Schwerer wiegt oft, dass ohne DSFA Risiken unerkannt bleiben – und sich nach einer Datenpanne als vermeidbar herausstellen.

Muss die DSFA an die Aufsichtsbehörde geschickt werden?

Nicht automatisch. Sie wird intern dokumentiert und vorgehalten. Nur wenn ein hohes Restrisiko trotz Maßnahmen bestehen bleibt, ist die Aufsichtsbehörde vorab zu konsultieren. Im Rahmen einer Prüfung kann die Behörde die DSFA jederzeit anfordern.

Wie lange ist eine DSFA gültig?

Eine DSFA bildet einen Zeitpunkt ab. Ändern sich die Verarbeitung, eingesetzte Technik oder das Risiko, muss sie überprüft und gegebenenfalls aktualisiert werden. Bei dynamischen Systemen empfiehlt sich ohnehin eine wiederkehrende Bewertung.

Steht eine risikoreiche Verarbeitung an?

Ob neue Software, KI-Einsatz oder Videoüberwachung – ich kläre mit Ihnen im kostenlosen Erstgespräch, ob eine DSFA nötig ist und wie wir sie pragmatisch umsetzen.

Kostenloses Erstgespräch
Anrufen E-Mail Anfrage Erstgespräch anfragen