DSFA – wann ist eine Datenschutz-Folgenabschätzung nötig?

Letztes Update:
11
.
04
.
2022
Lesezeit:
0
Min
Eine Datenschutz-Folgenabschätzung – kurz DSFA – ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten.
DSFA – wann ist eine Datenschutz-Folgenabschätzung nötig?
Die wichtigsten Erkenntnisse
  • Zuständig für DSFA ist der Verantwortliche, nicht der Datenschutzbeauftragte.
  • DSFA muss systematische Bewertungen persönlicher Aspekte, Notwendigkeit und Verhältnismäßigkeit enthalten.
  • DSFA erforderlich bei hohem Risiko für Rechte und Freiheiten natürlicher Personen.
  • Aufsichtsbehörden erstellen und veröffentlichen Listen von Verarbeitungsvorgängen, die DSFA erfordern.
  • Positivliste der Datenschutzkonferenz umfasst 16 Verarbeitungstätigkeiten, die DSFA erfordern.

Die DSFA ist eine Anforderung aus der DSGVO. Komplett neu ist dieses Instrument allerdings nicht, denn bereits das frühere deutsche Datenschutzrecht sah eine sogenannte Vorabkontrolle vor (§ 4d Abs. 5 BDSG). Im Prinzip handelt es sich bei der DSFA und der Vorabkontrolle um den gleichen Vorgang: In besonders sensiblen Fällen einer Datenverarbeitung soll im Vorfeld das Risiko dieser Verarbeitung evaluiert werden, um Abhilfemaßnahmen zu dessen Eindämmung zu schaffen.

DSFA – was ist das?

Zuständig für die Prüfung und gegebenenfalls Durchführung der DSFA ist der Verantwortliche und nicht, wie vielfach angenommen, der Datenschutzbeauftragte des Unternehmens. Viele Unternehmer sind sich unsicher, was eine Datenschutz-Folgenabschätzung genau ist und wie diese durchzuführen ist.

Wie in vielen Fällen hilft hier ein Blick ins Gesetz: Art. 35 Abs. 2 der DSGVO legt bestimmte Mindestanforderungen an den Inhalt einer DSFA fest. Eine solche Abschätzung muss demnach die folgenden Punkte enthalten:

  • eine systematische und umfassende Bewertung der persönlichen Aspekte natürlicher Personen, welche in der geplanten Verarbeitung betroffen sind
  • eine Bewertung der Notwendigkeit sowie der Verhältnismäßigkeit dieser Vorgänge
  • eine Bewertung der Risiken in Bezug auf die Rechte und Freiheiten der Betroffenen
  • die Abhilfemaßnahmen, die zur Bewältigung der oben genannten Risiken getroffen werden
  • Insgesamt dient die Datenschutz-Folgenabschätzung also der Vorsorge: Noch bevor es zu einer Datenpanne kommen kann, soll das Risiko einer solchen so gut wie möglich minimiert werden.

Wann ist eine DSFA durchzuführen?

Die Frage, ab wann genau eine Folgenabschätzung notwendig ist, treibt wohl viele Datenschutz-Verantwortliche um. Die Einschätzung einer geplanten Datenverarbeitung im Hinblick auf den Datenschutz kann schließlich ausgesprochen komplex sein. Art. 35 Abs. 1 der DSGVO legt hier Folgendes fest:

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.Art. 35 Abs. 1 DSGVO

In Abs. 3 folgen dann Regelbeispiele, bei denen eine Datenschutz-Folgenabschätzung durchzuführen ist. Dies ist in den folgenden Fällen notwendig:

1.    systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
2.    umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
3.    systematische umfangreiche Überwachung öffentlich zugänglicher BereicheArt. 35 Abs. 3 DSGVO

Wie kann die Datenschutz-Folgenabschätzung durchgeführt werden?

Vor der Durchführung der DSFA kann es ratsam sein, diese in 3 Phasen einzuteilen:

  • Vorbereitungsphase: Im ersten Schritt werden der Prüfgegenstand definiert, die Rechtsgrundlagen bestimmt und die Akteure festgelegt.
  • Bewertungsphase: Das Risiko kann im zweiten Schritt nach dem Standard-Datenschutzmodell oder entsprechend einer Risikoanalyse bewertet werden.
  • Maßnahmenphase: Abschließend werden Schutzmaßnahmen zur Vermeidung oder Minderung von Beeinträchtigungen von Rechten und Freiheiten ergriffen. Zudem werden der Verantwortliche und Zeitplan der Umsetzung festgelegt.

Hierbei sind die Ergebnisse der Vorbereitungs-, Bewertungs- und Maßnahmenphase zu dokumentieren.

Neue Gesetzgebung erfordert häufiger Durchführung der DSFA

Die Beispiele im Gesetzestext machen deutlich: Eine DSFA nach DSGVO muss weitaus häufiger durchgeführt werden als die Vorabkontrolle nach dem BDSG-alt. Dies kann zunächst einmal für Verwirrung bei den Verantwortlichen sorgen, denn längst nicht in jedem Fall lässt sich sofort klar erkennen, ob eine DSFA nun erforderlich ist oder nicht.

Doch die DSGVO hat für diese Problematik eine Lösung parat: Art. 35 Abs. 4 legt fest, dass die Aufsichtsbehörden dafür zuständig sind, im Rahmen ihres Zuständigkeitsbereichs eine Liste derjenigen Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.

Die Positivliste der Datenschutzkonferenz – Hilfestellung für Unternehmen

Im Juli 2018 hat die Datenschutzkonferenz1 eine Positivliste herausgegeben, auf welcher Verarbeitungstätigkeiten verzeichnet sind, welche eine DSFA erfordern. Insgesamt umfasst die Positivliste 16 Verarbeitungstätigkeiten, unter anderem etwa die beiden folgenden:

  • umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen
  • Erstellung umfassender Nutzerprofile in sozialen Netzwerken oder Dating-Portalen

Die vollständige Positivliste der DSK finden Sie hier. Alles in allem ist sie weitgehend deckungsgleich mit den bereits veröffentlichten DSFA-Positivlisten der einzelnen Aufsichtsbehörden der Länder.

1 Bei der Datenschutzkonferenz (DSK) handelt es sich um einen Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie gilt als Empfehlungsorgan im Datenschutz. Die Tagungen der DSK finden zwei Mal im Jahr statt.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!