Datenschutz-Folgenabschätzung (DSFA): Risikoanalyse bei kritischen Datenverarbeitungen nach Artikel 35 DSGVO

Was ist eine DSFA?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine Risikoanalyse nach Artikel 35 DSGVO. Ihr müsst sie durchführen, wenn eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen birgt.

Wann ist eine DSFA erforderlich?

Umfangreiche systematische Überwachung (z.B. Videoüberwachung)
Automatisierte Entscheidungen mit rechtlicher Wirkung (z.B. Kreditscoring)
Umfangreiche Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
Neue Technologien mit unklaren Risiken (z.B. KI-Systeme)

Warum ist die DSFA wichtig?

Die DSFA ist gesetzliche Pflicht bei risikoreichen Verarbeitungen. Sie hilft euch:

Compliance: Ihr erfüllt Artikel 35 DSGVO
Risiko-Erkennung: Ihr identifiziert Schwachstellen, bevor etwas passiert
Maßnahmen-Ableitung: Ihr wisst, welche TOMs nötig sind
Dokumentation: Ihr könnt nachweisen, dass ihr Risiken geprüft habt

Ohne DSFA bei risikoreichen Verarbeitungen riskiert ihr Bußgelder und haftet bei Datenpannen.

Beispiel: Müller GmbH

Die Müller GmbH (25 Mitarbeiter, Maschinenbau) führt Videoüberwachung im Lager ein. Das erfordert eine DSFA:

1. Beschreibung der Verarbeitung

Zweck: Diebstahlschutz, Arbeitssicherheit
Daten: Videobilder von Mitarbeitern und Besuchern
Speicherdauer: 7 Tage

2. Risikoanalyse

Risiko: Umfangreiche systematische Überwachung
Betroffene: 25 Mitarbeiter, gelegentliche Besucher
Schwere: Mittel (keine sensiblen Daten, aber systematische Überwachung)

3. Maßnahmen

Technisch: Verschlüsselte Speicherung, Zugriffsbeschränkung
Organisatorisch: Hinweisschilder, Mitarbeiter-Information, Betriebsrat einbezogen
Rechtlich: Berechtigtes Interesse (Diebstahlschutz)

4. Fazit

Restrisiko: Gering. Maßnahmen sind angemessen. Videoüberwachung kann eingeführt werden.

Mit easy DP erstellt die Müller GmbH ihre DSFA strukturiert und dokumentiert die Risikoanalyse.

Datenschutz-Folgenabschätzung (DSFA)