Recht und Steuern

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (DSFA) ist ein zentrales Instrument der DSGVO, um Risiken für die Rechte und Freiheiten betroffener Personen bei der Verarbeitung personenbezogener Daten frühzeitig zu erkennen und zu minimieren. Unternehmen sind verpflichtet, vor Einführung neuer Verarbeitungsvorgänge eine DSFA durchzuführen, wenn diese voraussichtlich ein hohes Risiko bergen – etwa bei der Einführung neuer Technologien, umfangreicher Videoüberwachung, Profiling oder der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten).

Wann ist eine DSFA erforderlich?

Eine DSFA ist nach Art. 35 Abs. 3 DSGVO insbesondere dann durchzuführen, wenn:
  • eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen erfolgt (z. B. durch automatisierte Entscheidungsfindung/Profiling),
  • besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) in großem Umfang verarbeitet werden,
  • eine umfangreiche Überwachung öffentlich zugänglicher Bereiche stattfindet.
Die Aufsichtsbehörden veröffentlichen Listen (Blacklists/Whitelists) mit Verarbeitungsvorgängen, für die eine DSFA verpflichtend oder entbehrlich ist. Im Zweifel empfiehlt es sich, eine DSFA durchzuführen, da die Aufsichtsbehörden die Anforderungen streng auslegen und Verstöße mit Bußgeldern ahnden können.

Ablauf und Inhalt der DSFA

Die DSFA muss mindestens folgende Punkte enthalten:
  • Systematische Beschreibung der geplanten Verarbeitungsvorgänge und deren Zwecke,
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung,
  • Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen,
  • Darstellung der geplanten Maßnahmen zur Risikominimierung und Sicherstellung des Datenschutzes.
Wurde ein Datenschutzbeauftragter bestellt, ist dessen Rat einzuholen.

Praxis-Tipps für Unternehmen

  • Prüfen Sie frühzeitig, ob Ihre geplanten Verarbeitungsvorgänge eine DSFA erfordern.
  • Dokumentieren Sie die Durchführung und Ergebnisse der DSFA sorgfältig.
  • Binden Sie den Datenschutzbeauftragten und ggf. externe Experten ein.
  • Setzen Sie die identifizierten Maßnahmen zur Risikominimierung konsequent um.
  • Halten Sie sich an die behördlichen Empfehlungen und dokumentieren Sie Ihre Entscheidungsprozesse.

Folgen bei Verstößen

Unterlassen oder fehlerhafte Durchführung einer DSFA kann zu erheblichen Bußgeldern führen und birgt ein hohes Haftungsrisiko für das Unternehmen. Die Aufsichtsbehörden prüfen insbesondere, ob die DSFA ordnungsgemäß und nachvollziehbar durchgeführt wurde.