DSFA Leitfaden: Datenschutz-Folgenabschätzung nach DSGVO Schritt für Schritt

Die Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument der DSGVO, um die Risiken einer geplanten Datenverarbeitung für die Rechte und Freiheiten betroffener Personen systematisch zu bewerten. Sie ist keine freiwillige Best Practice, sondern eine gesetzliche Pflicht in bestimmten Fällen — mit Bußgeldern von bis zu 10 Mio. Euro bei Nichteinhaltung.

Wann ist eine DSFA Pflicht?

Artikel 35 DSGVO verpflichtet zur DSFA, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko" für Betroffene birgt. Die Aufsichtsbehörden haben Positivlisten (Blacklists) veröffentlicht. Eine DSFA ist typischerweise erforderlich bei:

• Systematische und umfassende Bewertung persönlicher Aspekte (Profiling, Scoring, automatisierte Entscheidungsfindung)
• Umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit)
• Systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung)
• Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Patienten, Beschäftigte)
• Einsatz neuer Technologien (KI-basierte Entscheidungssysteme, biometrische Erkennung)

DSFA in 6 Schritten durchführen

1. Schwellenwertanalyse: Prüfen Sie zunächst, ob eine DSFA überhaupt erforderlich ist. Die DSK-Blacklist und die Kriterien der Art.-29-Datenschutzgruppe geben Orientierung. Im Zweifel: DSFA durchführen.
2. Verarbeitungsbeschreibung: Dokumentieren Sie die geplante Verarbeitung vollständig: Zweck, Rechtsgrundlage, Datenkategorien, Betroffenenkreis, Empfänger, Speicherdauer, technische Systeme.
3. Erforderlichkeits- und Verhältnismäßigkeitsprüfung: Ist die Verarbeitung für den Zweck erforderlich? Gibt es mildere Mittel? Ist das Verhältnis zwischen Nutzen und Risiko angemessen?
4. Risikobewertung: Identifikation der Risiken für Betroffene (Diskriminierung, finanzielle Schäden, Rufschädigung, Identitätsdiebstahl). Bewertung nach Eintrittswahrscheinlichkeit und Schwere.
5. Maßnahmenplanung: Definition technischer und organisatorischer Maßnahmen zur Risikominderung: Pseudonymisierung, Verschlüsselung, Zugangsbeschränkung, Löschkonzept.
6. Dokumentation und Konsultation: Ergebnis dokumentieren und dem Datenschutzbeauftragten vorlegen. Bei verbleibendem hohem Risiko: vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).

DSFA und KI: Besondere Anforderungen

Mit dem EU AI Act gewinnt die DSFA an Bedeutung für KI-Systeme. Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, erfordern fast immer eine DSFA. Besondere Prüfpunkte bei KI:

• Transparenz: Können Betroffene nachvollziehen, wie die KI-Entscheidung zustande kam?
• Bias und Diskriminierung: Gibt es systematische Verzerrungen in den Trainingsdaten?
• Automatisierte Einzelentscheidungen: Art. 22 DSGVO gibt Betroffenen das Recht, nicht einer automatisierten Entscheidung unterworfen zu werden.
• Datenminimierung: Werden nur die für den KI-Zweck erforderlichen Daten verarbeitet?

Häufig gestellte Fragen zur DSFA

Was ist eine DSFA einfach erklärt?

Eine DSFA ist eine strukturierte Risikoanalyse für den Datenschutz. Sie prüft, welche Risiken eine geplante Datenverarbeitung für die betroffenen Personen hat und welche Maßnahmen diese Risiken mindern. Sie müssen sie durchführen, bevor Sie mit der risikoreichen Verarbeitung beginnen.

Wer ist für die DSFA verantwortlich?

Der Verantwortliche im Sinne der DSGVO — typischerweise das Unternehmen, das die Verarbeitung durchführt. Der Datenschutzbeauftragte berät bei der Durchführung und prüft das Ergebnis, ist aber nicht selbst verantwortlich. Die operative Durchführung liegt bei den Fachbereichen zusammen mit Datenschutz und IT.

Was passiert, wenn man keine DSFA durchführt?

Verstöße gegen die DSFA-Pflicht können mit Bußgeldern von bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes geahndet werden. Darüber hinaus kann die Aufsichtsbehörde die Verarbeitung untersagen, bis eine DSFA vorliegt. Praktisch ist das Fehlen einer DSFA auch ein erhebliches Haftungsrisiko im Schadensfall.

Wie oft muss eine DSFA aktualisiert werden?

Die DSFA muss überprüft werden, wenn sich die Verarbeitung wesentlich ändert: neue Datenkategorien, neuer Zweck, neue Technologie, geändertes Risikoprofil. Auch ohne Änderung empfiehlt die DSK eine regelmäßige Überprüfung alle 3 Jahre. Bei KI-Systemen ist eine häufigere Überprüfung sinnvoll, da sich Modelle und Daten laufend ändern.