Compliance-Lexikon · DSGVO
Datenschutz-Folgenabschätzung
auch: DSFA, Data Protection Impact Assessment (DPIA)
Die Datenschutz-Folgenabschaetzung (DSFA) ist ein strukturiertes Verfahren zur Bewertung der Risiken einer geplanten Datenverarbeitungstaetigkeit fuer die Rechte und Freiheiten betroffener Personen -- und zur Ableitung von Massnahmen zur Risikominimierung vor Beginn der Verarbeitung.
Warum die DSFA wichtig ist
Die Datenschutz-Folgenabschaetzung ist das zentrale Instrument fuer Privacy by Design: Risiken werden vor Beginn der Verarbeitung bewertet und gemindert -- nicht nachtraeglich behoben. Wer eine DSFA-pflichtige Verarbeitung ohne DSFA beginnt, handelt ordnungswidrig und traegt das volle Bussgeldrisiko. Im Audit und bei Behoerdenpruefungen wird die DSFA fuer risikoreiche Verarbeitungen als Pflichtdokument erwartet.
Wo die DSFA gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 35 | Datenschutz-Folgenabschaetzung: Pflicht bei voraussichtlich hohem Risiko -- insbesondere bei systematischer Verarbeitung sensibler Daten, grossangelegter Verarbeitung oder oeffentlicher Ueberwachung. |
| DSGVO | Art. 36 | Vorherige Konsultation: Wenn DSFA zeigt, dass Restrisiken hoch bleiben, muss die Aufsichtsbehoerde konsultiert werden. |
| DSGVO | Art. 25 | Privacy by Design und Default: DSFA ist Instrument zur Umsetzung von Privacy by Design. |
| EDPB-Leitlinien | WP 248 | Leitlinien zu Datenschutz-Folgenabschaetzungen: Konkretisierung der Art.-35-Anforderungen durch den Europaeischen Datenschutzausschuss. |
| BDSG | § 67 | Sonderregelungen fuer Verarbeitung zu Strafverfolgungszwecken mit eigenen DSFA-Pflichten. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- DSFA-Pflicht nicht erkannt bei KI-gestuetuzen Entscheidungssystemen
- DSFA durchgefuehrt, aber nicht aktualisiert bei Aenderung der Verarbeitung
- DSFA zu oberflaechlich -- keine konkreten Massnahmen abgeleitet
- Kein Verzeichnis der durchgefuehrten DSFAs
Wann eine DSFA zwingend ist
Art. 35 DSGVO benennt drei Kategorien mit zwingender DSFA-Pflicht: systematische und umfassende Bewertung persoenlicher Aspekte (einschliesslich Profiling), grossangelegte Verarbeitung besonderer Datenkategorien (Gesundheit, Biometrie, politische Meinungen) und systematische weitraeumige Ueberwachung oeffentlicher Bereiche. Die deutschen Datenschutzbehoerden haben Positiv- und Negativlisten veroeffentlicht, die konkrete Verarbeitungstypen als DSFA-pflichtig oder nicht einstufen. Darueberhinaus haben viele Aufsichtsbehoerden konkrete Schwellenwerte veroeffentlicht -- z.B. ist Videouberwachung groesserer Bereiche regelmaessig DSFA-pflichtig.
Aufbau einer DSFA
Eine DSFA folgt einer strukturierten Methodik: Beschreibung der Verarbeitung (Zweck, Art, Umfang, Kontext, betroffene Personen), Beurteilung der Notwendigkeit und Verhaeltnismaessigkeit, Bewertung der Risiken fuer Betroffene (Wahrscheinlichkeit und Schwere), Massnahmen zur Risikominderung und Nachweis der Restrisiken. Wenn Restrisiken hoch bleiben, ist vor Beginn der Verarbeitung die Aufsichtsbehoerde zu konsultieren (Art. 36 DSGVO).
Naechste Ebene
DSFA in der Praxis: Durchfuehrung, Pflichtinhalte und Evidence
Wann eine DSFA zwingend ist, wie sie strukturiert wird und was Auditoren pruefen.