1

Wissen: Datenschutz-Folgenabschätzung (DSFA)

Die DSFA (Art. 35 DS-GVO) (eng. Data Protection Impact Assessment (DPIA)) ist eine strukturierte Risikoanalyse und ein Instrument des datenschutzrechtlichen Risikomanagements. Ziel der DSFA ist es, Risiken bei der Verarbeitung von personenbezogenen Daten einer betroffenen Person zu ermitteln, bewerten und zu reduzieren.

Eine Durchführung der DSFA ist notwendig, wenn bei einer geplanten Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Ob eine DSFA tatsächlich durchgeführt werden muss, ist im EInzelfall (also potenziell bei jeder Verarbeitungstätigkeit) durch eine sogenannte Schwellenwertanalyse zu ermitteln.

In folgenden Fällen muss immer eine DSFA durchgeführt werden:

  • bei einer systematischen und umfassenden Bewertung persönlicher Aspekte (z.B. Erstellung eines Führungszeugnis),
  • einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO) oder von personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten (Art. 10 DS-GVO)
  • oder einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche (z.B. TÜV-Gelände).

Die Aufsichtsbehörden erstellen zudem Listen (Art. 35 Abs. 4 DS-GVO) über Kategorien von Verarbeitungsvorgänge, sogenannte Blacklists, bei denen eine DSFA durchgeführt werden muss. Ebenfalls Können auch Whitelists erstellt werden, die Verarbeitungsvorgänge aufzählt, bei der keine DSFA notwendig ist. Eine Whitelist ist in Deutschland gegenwärtig (Mai 2022) nicht vorhanden. Die Blacklist der deutschen Datenschutzkonferenz finden Sie hier.

Daneben hat der EDSA weitere Kriterien veröffentlicht, die – sofern zu treffend – die Notwendigungkeit einer DSFA begründen können (die eigentliche Schwellwertanalyse).

Die DSFA wird aus Sicht der betroffenen Person durchgeführt und muss mindestens eine systematische Beschreibung, eine Beurteilung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für Rechte und Freiheiten, sowie, bei festgestellten Risiken, Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen etc. enthalten.

Wird bei der Durchführung der DSFA festgestellt, dass ein hohes Risiko besteht, so müssen notwendige technische und organisatorische Maßnahmen getroffen werden um diese Risiken eleminieren oder zumindest zu reduzieren.

Kann jedoch das hohe Risiko nicht durch Maßnahmen verringert werden, so ist eine Genehmigung der zuständigen Aufsichtsbehörde (Art. 36 Abs. 1 DS-GVO) zur geplanten Verarbeitung notwendig, wenn der Verantwortliche diese dennoch durchführen möchte.

Die Durchführung einer DSFA ist eine Verpflichtung des Verantwortlichen. Ein eventuell benannter Datenschutzbeauftragter ist im Rahmen einer DSFA immer zu befragen und seine Stellungnahme zu dokumentieren.

Die Nichtdurchführung einer DSFA ist bußgeldbewehrt.