Kowoll Protects Logo +49 7071 770371

Glossar

Datenschutz-Folgenabschätzung (DSFA)

Risikoanalyse nach Art. 35 DSGVO bei voraussichtlich hohem Risiko für Rechte und Freiheiten Betroffener.

Definition

Die Datenschutz-Folgenabschätzung (DSFA, engl. DPIA) ist eine strukturierte Risikoanalyse nach Art. 35 DSGVO. Pflicht ist sie, wenn eine Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” zur Folge hat.

Die DSFA dokumentiert systematisch:

  • Beschreibung der Verarbeitung (Zwecke, Mittel, Verfahren)
  • Notwendigkeit und Verhältnismäßigkeit
  • Risiken für die Betroffenen
  • Maßnahmen zur Risikobegrenzung

Sie ist Teil der Rechenschaftspflicht und muss bei der Aufsicht auf Anfrage vorlegbar sein.

In der Praxis

Pflicht ist eine DSFA insbesondere bei:

  • Systematischer umfassender Bewertung persönlicher Aspekte (Profiling, Scoring, Predictive Analytics)
  • Umfangreicher Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO)
  • Systematischer Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung Innenstadt-Filiale)
  • KI-gestützter Bewerber-Vorauswahl
  • Großflächigem Mitarbeiter-Monitoring
  • Biometrischer Zugangskontrolle für viele Mitarbeiter

Die Aufsichtsbehörden veröffentlichen “Blacklists” (DSFA-pflichtig) und “Whitelists” (nie DSFA-pflichtig). Der LfDI BW hat seine Liste online — beim ersten Zweifel dort prüfen.

Was Sie tun müssen

Wenn Sie ein neues Verfahren einführen, das eines der obigen Kriterien erfüllt:

  • DSFA-Pflicht prüfen anhand der Liste der Aufsicht
  • Im Zweifelsfall: lieber durchführen — Aufwand 8 bis 20 Stunden je nach Verfahren
  • Strukturierte Risikobewertung (Eintrittswahrscheinlichkeit × Schadensschwere)
  • Maßnahmen zur Risikobegrenzung definieren — technisch und organisatorisch (TOMs)
  • DSB einbinden — Stellungnahme einholen (Pflicht!)
  • Betroffene oder deren Vertreter ggf. einbinden
  • Bei Restrisiko trotz Maßnahmen: Konsultation der Aufsicht nach Art. 36 DSGVO

Eine DSFA ist kein Selbstläufer — die meisten KMU brauchen externe Unterstützung für die erste DSFA, ab der zweiten geht es mit Vorlage schneller. Bei Kowoll-Mandanten ist die erste DSFA im Aufbau-Paket enthalten, weitere DSFAs werden pauschal oder im Festpreis abgebildet — siehe Kostenmodelle.

Verwandte Begriffe und Seiten