Brain-Media.de/Compliance-Lexikon/Datenschutz-Folgenabschätzung/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Datenschutz-Folgenabschätzung – Praxis

Die DSFA ist in Audits haeufig ein blinder Fleck -- entweder wird die Pflicht nicht erkannt, oder die DSFA ist so allgemein gehalten, dass sie keine Schutzwirkung entfaltet. Was Datenschutzbehoerden und Auditoren wirklich pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Datenschutz-Folgenabschaetzung fragt der Auditor zuerst: Welche Verarbeitungen hat die Organisation als DSFA-pflichtig eingestuft? Dann: Wurden fuer diese Verarbeitungen DSFAs durchgefuehrt? Das BAM-Objekt CROSS-DSFA-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-DSFA-01
Gap-CheckLiegt ein datierter, vollstaendiger Nachweis der Wirksamkeit vor?
RemediationDokumentierter Prozess mit Eigentuemerverantwortung und Aktualisierungsnachweis
EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem -- mindestens jaehrlich.

Haeufige Fehler

  • DSFA-Schwellenwert-Pruefung fehlt -- es ist unklar, welche Verarbeitungen DSFA-pflichtig sind
  • DSFA durchgefuehrt, aber Massnahmen nicht umgesetzt
  • DSFA nicht aktualisiert nach wesentlicher Aenderung der Verarbeitung
  • KI-basierte Systeme ohne DSFA -- obwohl regelmaessig DSFA-pflichtig

Praxis-Tipp

Fuer DSFA gilt: Die DSFA muss vor Beginn der Verarbeitung abgeschlossen sein -- nicht waehrend oder danach. Eine DSFA, die nachtraeglich erstellt wird, hat fuer vergangene Verarbeitungszeitraeume keine Schutzwirkung. Der Zeitstempel der DSFA ist fuer Behoerden relevanter Pruefpunkt.

DSFA-Prozess in der Praxis

Erster Schritt: Schwellenwert-Pruefung fuer alle neuen Verarbeitungen -- ist eine DSFA erforderlich? Zweiter Schritt: DSFA-Vorlage nutzen und alle Pflichtinhalte nach Art. 35 Abs. 7 DSGVO abdecken. Dritter Schritt: Massnahmen ableiten und deren Umsetzung verifiziern. Vierter Schritt: Verzeichnis aller durchgefuehrten DSFAs fuehren. Fuenfter Schritt: DSFA bei wesentlichen Aenderungen der Verarbeitung aktualisieren. Sechster Schritt: Bei hohem Restrisiko Aufsichtsbehoerde konsultieren (Art. 36).

Evidence-Anforderungen im Audit

Der Auditor erwartet: ein Verzeichnis aller als DSFA-pflichtig eingestuften Verarbeitungen, die vollstaendigen DSFA-Dokumente mit Datum, Nachweis der Schwellenwert-Pruefung fuer alle neuen Verarbeitungen der letzten Auditperiode und -- bei ausgeloester vorheriger Konsultation -- den Schriftverkehr mit der Aufsichtsbehoerde.

Naechster Schritt

Stresstest starten

Kostenloser Compliance-Stresstest -- DSGVO und technische Sicherheit in 20 Minuten.

Die strategische Einordnung -- warum DSFA langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper