Die DSFA (Art. 35 DS-GVO) (eng. Data Protection Impact Assessment (DPIA)) ist eine strukturierte Risikoanalyse und ein Instrument des datenschutzrechtlichen Risikomanagements. Ziel der DSFA ist es, Risiken bei der Verarbeitung von personenbezogenen Daten einer betroffenen Person zu ermitteln, zu bewerten und zu reduzieren.
Schwellwertanalyse
Eine Durchführung der DSFA ist notwendig, wenn bei einer geplanten Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Ob eine DSFA tatsächlich durchgeführt werden muss, ist im Einzelfall (also potenziell bei jeder Verarbeitungstätigkeit) durch eine sogenannte Schwellenwertanalyse zu ermitteln.
In folgenden Fällen muss immer eine DSFA durchgeführt werden:
- bei einer systematischen und umfassenden Bewertung persönlicher Aspekte (z.B. Erstellung eines Führungszeugnisses),
- einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO) oder von personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten (Art. 10 DS-GVO)
- oder einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche (z.B. TÜV-Gelände).
Die Aufsichtsbehörden erstellen zudem Listen (Art. 35 Abs. 4 DS-GVO) über Kategorien von Verarbeitungsvorgängen, sogenannte Blacklists, bei denen eine DSFA durchgeführt werden muss. Ebenfalls können auch Whitelists erstellt werden, die Verarbeitungsvorgänge aufzählen, bei der keine DSFA notwendig ist. Eine Whitelist ist in Deutschland gegenwärtig (Dezember 2022) nicht vorhanden. Die Blacklist der deutschen Datenschutzkonferenz finden Sie hier.
Daneben hat die Artikel-29-Gruppe (Vorläufer des EDSA) bereits 2017 Kriterien veröffentlicht, die – sofern zutreffend – die Notwendigkeit einer DSFA begründen können (die eigentliche Schwellwertanalyse). Der EDSA hat hierzu allerdings Änderungsempfehlungen ausgesprochen, die bisher aber nicht in einer überarbeiteten Fassung umgesetzt wurden. Wir empfehlen diese Änderungsempfehlungen bei der Durchführung einer Schwellwertanalyse zu berücksichtigen.
Risikobewertung aus Sicht der betroffenen Personen
Die DSFA wird aus Sicht der betroffenen Person durchgeführt und muss mindestens eine systematische Beschreibung, eine Beurteilung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für Rechte und Freiheiten, sowie, bei festgestellten Risiken, Abhilfemaßnahmen einschließlich Garantien, Sicherheitsvorkehrungen etc. enthalten.
Wird bei der Durchführung der DSFA festgestellt, dass ein hohes Risiko besteht, so müssen notwendige technische und organisatorische Maßnahmen getroffen werden, um diese Risiken zu eleminieren oder zumindest zu reduzieren.
Kann jedoch das hohe Risiko nicht durch Maßnahmen verringert werden, so ist eine Genehmigung der zuständigen Aufsichtsbehörde (Art. 36 Abs. 1 DS-GVO) zur geplanten Verarbeitung notwendig, wenn der Verantwortliche diese dennoch durchführen möchte.
Die Durchführung einer DSFA ist eine Verpflichtung des Verantwortlichen. Ein eventuell benannter Datenschutzbeauftragter ist im Rahmen einer DSFA immer zu befragen und seine Stellungnahme zu dokumentieren.
Die Nichtdurchführung einer DSFA ist bußgeldbewehrt.