Datenschutz-Folgenabschätzung (DSFA): Wann nötig und wie durchführen

Was ist eine Datenschutz-Folgenabschätzung?

Die Datenschutz-Folgenabschätzung, im englischen Sprachraum als Data Protection Impact Assessment (DPIA) bekannt, ist ein strukturiertes Verfahren, mit dem du die Risiken einer geplanten Datenverarbeitung für die betroffenen Personen identifizierst, bewertest und durch geeignete Maßnahmen minimierst. Art. 35 DSGVO schreibt dieses Verfahren vor, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" zur Folge hat.

Der entscheidende Perspektivwechsel: Bei einer DSFA geht es nicht um die Risiken für dein Unternehmen. Es geht um die Risiken für die Menschen, deren Daten du verarbeitest. Nicht der potenzielle Bußgeldbescheid steht im Mittelpunkt, sondern die Frage, ob eine Mitarbeiterin ungerechtfertigt überwacht wird, ob ein Kunde durch Profiling diskriminiert werden könnte oder ob ein Datenleck existenzbedrohende Folgen für eine betroffene Person hätte.

Dieser Perspektivwechsel ist kein philosophisches Detail. Er bestimmt die gesamte Methodik der Bewertung: Schadenshöhe und Eintrittswahrscheinlichkeit bemessen sich an der Situation der Betroffenen, nicht an der Situation deines Unternehmens.

Wann ist eine DSFA Pflicht?

Art. 35 Abs. 1 DSGVO formuliert den Auslöser bewusst offen: "voraussichtlich hohes Risiko". Die Absätze 3 und 4 konkretisieren diesen unbestimmten Begriff durch drei Mechanismen.

Die drei Regelbeispiele aus Art. 35 Abs. 3

Die DSGVO nennt drei Fälle, in denen eine DSFA typischerweise erforderlich ist:

Systematische und umfassende Bewertung persönlicher Aspekte. Das betrifft Profiling-Verfahren, bei denen automatisiert persönliche Aspekte bewertet werden und auf deren Basis Entscheidungen getroffen werden, die rechtliche Wirkung entfalten oder die betroffene Person erheblich beeinträchtigen. Beispiele: Kreditscoring, automatisierte Bewerbervorauswahl, Leistungsbewertung von Mitarbeitern durch Algorithmen.

Umfangreiche Verarbeitung besonderer Kategorien. Wenn du in großem Umfang Gesundheitsdaten, biometrische Daten, Daten zur politischen Meinung, zur Gewerkschaftszugehörigkeit oder zur sexuellen Orientierung verarbeitest, ist eine DSFA regelmäßig erforderlich. "Umfangreich" ist dabei relativ: Ein einzelner Hausarzt verarbeitet zwar Gesundheitsdaten, aber nicht umfangreich im Sinne der Norm. Ein Krankenhaus mit 500 Betten hingegen schon.

Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Großflächige Videoüberwachung, WLAN-Tracking in Einkaufszentren oder die systematische Erfassung von Kennzeichen auf öffentlichen Parkplätzen fallen in diese Kategorie.

Blacklists der Aufsichtsbehörden

Art. 35 Abs. 4 DSGVO ermächtigt die Aufsichtsbehörden, Listen von Verarbeitungstätigkeiten zu veröffentlichen, für die eine DSFA zwingend ist. In Deutschland hat die Datenschutzkonferenz (DSK) eine solche Liste veröffentlicht, die sogenannte Muss-Liste. Sie enthält unter anderem:

• Umfangreiche Verarbeitung von Beschäftigtendaten, die zur Verhaltens- oder Leistungskontrolle geeignet sind
• Einsatz von Telematik-Systemen zur Analyse des Fahrverhaltens
• Erstellung umfassender Profile über Interessen, Netzwerk und Standort einer Person
• Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen
• Einsatz von KI-Systemen zur Verarbeitung personenbezogener Daten zur Steuerung von Interaktionen mit Betroffenen
• Anonymisierung besonderer Kategorien personenbezogener Daten

Wenn deine geplante Verarbeitung auf dieser Liste steht, gibt es keine Diskussion: Du musst eine DSFA durchführen. Punkt.

Die Zwei-von-Neun-Regel der Artikel-29-Datenschutzgruppe

Für Fälle, die nicht eindeutig unter die Regelbeispiele oder die Blacklists fallen, hat die Artikel-29-Datenschutzgruppe (heute der Europäische Datenschutzausschuss, EDSA) neun Kriterien definiert. Treffen mindestens zwei davon zu, solltest du eine DSFA durchführen:

1. Bewertung oder Scoring (einschließlich Profiling und Vorhersagen)
2. Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlicher Wirkung
3. Systematische Überwachung
4. Verarbeitung vertraulicher oder höchst persönlicher Daten
5. Datenverarbeitung in großem Umfang
6. Abgleich oder Zusammenführung von Datensätzen
7. Daten schutzbedürftiger Betroffener (Kinder, Arbeitnehmer, psychisch Kranke, Asylsuchende)
8. Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
9. Die Verarbeitung hindert Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung

Diese Neun-Kriterien-Prüfung ist dein wichtigstes Werkzeug für die Schwellwertanalyse.

Die Schwellwertanalyse: DSFA nötig oder nicht?

Bevor du den vollständigen DSFA-Prozess startest, führst du eine Schwellwertanalyse (auch Schwellwertprüfung oder Threshold Analysis) durch. Sie beantwortet genau eine Frage: Muss ich für diese Verarbeitung eine DSFA durchführen?

Die Schwellwertanalyse dokumentierst du schriftlich. Auch ein negatives Ergebnis ("Keine DSFA erforderlich") muss nachvollziehbar begründet sein. Wenn eine Aufsichtsbehörde fragt, warum du keine DSFA durchgeführt hast, reicht ein Achselzucken nicht aus.

Der Ablauf in der Praxis:

Schritt 1: Prüfung gegen die Blacklist. Steht die Verarbeitung auf der Muss-Liste der zuständigen Aufsichtsbehörde? Wenn ja, ist die Schwellwertanalyse beendet: DSFA erforderlich.

Schritt 2: Prüfung gegen die Regelbeispiele. Fällt die Verarbeitung unter eines der drei Regelbeispiele aus Art. 35 Abs. 3 DSGVO? Wenn ja: DSFA erforderlich.

Schritt 3: Zwei-von-Neun-Prüfung. Treffen mindestens zwei der neun Kriterien der Artikel-29-Datenschutzgruppe zu? Wenn ja: DSFA empfohlen (in der Praxis bedeutet das: tu es).

Schritt 4: Ergebnis dokumentieren. Halte fest, welche Kriterien du geprüft hast, warum sie zutreffen oder nicht und ob eine DSFA durchgeführt wird.

Ein Praxisbeispiel: Dein Unternehmen plant die Einführung eines Zeiterfassungssystems mit biometrischer Authentifizierung per Fingerabdruck. Die Schwellwertanalyse ergibt: Verarbeitung biometrischer Daten (Kriterium 4), Daten von Beschäftigten als schutzbedürftige Betroffene wegen des Abhängigkeitsverhältnisses (Kriterium 7), innovative Technologie im Kontext der Organisation (Kriterium 8). Drei von neun Kriterien treffen zu. Ergebnis: DSFA erforderlich.

Der DSFA-Prozess in neun Schritten

Wenn die Schwellwertanalyse ergibt, dass eine DSFA nötig ist, durchläufst du einen strukturierten Prozess. Die folgenden neun Schritte orientieren sich an den Leitlinien des EDSA und den Empfehlungen des Bayerischen Landesamts für Datenschutzaufsicht.

Schritt 1: Verarbeitung systematisch beschreiben

Beschreibe die geplante Verarbeitung so detailliert, dass ein fachkundiger Dritter sie vollständig nachvollziehen kann. Dazu gehören:

• Zweck der Verarbeitung: Was soll erreicht werden? Welches Geschäftsziel steckt dahinter?
• Rechtsgrundlage: Auf welcher Basis verarbeitest du die Daten? Art. 6 Abs. 1 lit. a (Einwilligung), lit. b (Vertragserfüllung), lit. f (berechtigtes Interesse)?
• Datenkategorien: Welche personenbezogenen Daten werden erhoben? Stammdaten, Verhaltensdaten, Gesundheitsdaten, biometrische Daten?
• Betroffene Personengruppen: Mitarbeiter, Kunden, Bewerber, Minderjährige?
• Empfänger: Wer erhält die Daten? Interne Abteilungen, Auftragsverarbeiter, Drittstaaten?
• Speicherdauer und Löschfristen: Wie lange werden die Daten gespeichert?
• Technische Infrastruktur: Welche Systeme, Software und Schnittstellen sind beteiligt?
• Datenflüsse: Wie wandern die Daten durch die Systeme? Von der Erhebung über die Verarbeitung bis zur Löschung.

Schritt 2: Notwendigkeit und Verhältnismäßigkeit prüfen

Hier stellst du die Grundsatzfrage: Ist die geplante Verarbeitung überhaupt notwendig und verhältnismäßig? Konkret prüfst du:

• Zweckbindung: Sind die erhobenen Daten für den angegebenen Zweck tatsächlich erforderlich?
• Datenminimierung: Werden nur die Daten erhoben, die für den Zweck unbedingt nötig sind? Könntest du den Zweck mit weniger oder weniger sensiblen Daten erreichen?
• Speicherbegrenzung: Ist die Speicherdauer auf das notwendige Minimum begrenzt?
• Rechtsgrundlage: Ist die gewählte Rechtsgrundlage tragfähig? Ist eine Einwilligung wirklich freiwillig, oder besteht ein Abhängigkeitsverhältnis?

Falls du hier feststellst, dass die Verarbeitung nicht notwendig oder nicht verhältnismäßig ist, musst du die Planung anpassen, bevor du weitermachst.

Schritt 3: Betroffenenperspektive einnehmen

Dieser Schritt wird in der Praxis am häufigsten unterschlagen, ist aber zentral. Du versetzt dich in die Lage der betroffenen Personen und fragst:

• Welche negativen Konsequenzen könnte die Verarbeitung für die Betroffenen haben?
• Könnte die Verarbeitung zu Diskriminierung, finanziellen Verlusten, Rufschädigung oder Kontrollverlust führen?
• Sind die Betroffenen in der Lage, die Verarbeitung zu verstehen und ihre Rechte wirksam auszuüben?
• Gibt es ein Machtungleichgewicht zwischen Verantwortlichem und Betroffenen (z. B. Arbeitgeber und Arbeitnehmer)?

Art. 35 Abs. 9 DSGVO sieht vor, dass du den Standpunkt der betroffenen Personen einholen sollst, "soweit dies angemessen ist". Das kann eine Mitarbeiterbefragung sein, eine Kundenbefragung oder die Einholung einer Stellungnahme des Betriebsrats.

Schritt 4: Risiken identifizieren

Jetzt gehst du systematisch die Risiken durch. Für jede Datenverarbeitungsaktivität fragst du: Was kann schiefgehen? Typische Risikokategorien:

• Unbefugter Zugriff: Wer könnte unberechtigt auf die Daten zugreifen? Hacker, neugierige Mitarbeiter, Auftragsverarbeiter mit zu weitreichenden Rechten?
• Unbefugte Änderung: Könnten Daten manipuliert werden, mit negativen Folgen für die Betroffenen?
• Datenverlust: Was passiert, wenn Daten verloren gehen? Können sie wiederhergestellt werden?
• Unrechtmäßige Offenlegung: Könnten Daten an unbefugte Dritte gelangen?
• Zweckentfremdung: Könnten die Daten für andere als die ursprünglich vorgesehenen Zwecke verwendet werden?
• Verknüpfungsrisiko: Könnten durch Verknüpfung mit anderen Datenbeständen neue, sensible Erkenntnisse gewonnen werden?
• Automatisierungsfehler: Könnten algorithmische Entscheidungen systematisch falsch oder diskriminierend sein?

Schritt 5: Risiken bewerten

Für jedes identifizierte Risiko bewertest du zwei Dimensionen: die Schwere des potenziellen Schadens für die Betroffenen und die Wahrscheinlichkeit des Eintritts.

Die Schwere lässt sich in vier Stufen unterteilen:

Die Eintrittswahrscheinlichkeit bewertest du ebenfalls in vier Stufen: vernachlässigbar, begrenzt, erheblich, maximal. Aus der Kombination beider Dimensionen ergibt sich das Risikoniveau. Tools wie ISMS Lite bilden diese Risikomatrix direkt ab und berechnen das Risikoniveau automatisch, sodass du die Bewertung strukturiert und auditfähig dokumentieren kannst.

Schritt 6: Abhilfemaßnahmen definieren

Für jedes Risiko mit einem Niveau oberhalb der Akzeptanzschwelle definierst du konkrete Maßnahmen, die das Risiko auf ein vertretbares Niveau senken. Maßnahmen können technischer oder organisatorischer Natur sein:

Technische Maßnahmen:

• Verschlüsselung der Daten im Ruhezustand und bei der Übertragung
• Pseudonymisierung oder Anonymisierung, wo möglich
• Zugriffskontrollen mit Rollenkonzept
• Protokollierung und Monitoring von Datenzugriffen
• Automatisierte Löschung nach Fristablauf
• Datensicherung und Wiederherstellungsverfahren

Organisatorische Maßnahmen:

• Schulungen und Sensibilisierung der Mitarbeiter
• Vier-Augen-Prinzip bei kritischen Verarbeitungen
• Prozesse für die Ausübung von Betroffenenrechten
• Vertragliche Bindung von Auftragsverarbeitern
• Regelmäßige Überprüfung der Zugriffsrechte
• Dokumentation und Versionierung der Verarbeitungsprozesse

Zu jeder Maßnahme gehören: eine verantwortliche Person, ein Umsetzungszeitpunkt und ein Kriterium, an dem du erkennst, ob die Maßnahme wirkt.

Schritt 7: Restrisiko bewerten

Nach der Definition der Abhilfemaßnahmen bewertest du das verbleibende Restrisiko. Haben die Maßnahmen das Risikoniveau auf ein vertretbares Maß gesenkt? Wenn ja, dokumentierst du diese Einschätzung mit Begründung. Wenn nein, hast du zwei Optionen: zusätzliche Maßnahmen definieren oder die Aufsichtsbehörde konsultieren (Schritt 9).

Wichtig: Ein Restrisiko von null existiert nicht. Ziel ist nicht die Eliminierung aller Risiken, sondern deren Reduktion auf ein Niveau, das angesichts des Verarbeitungszwecks und der Interessen der Betroffenen vertretbar ist.

Schritt 8: Datenschutzbeauftragten einbinden

Art. 35 Abs. 2 DSGVO schreibt vor, dass der Rat des Datenschutzbeauftragten eingeholt werden muss. Das bedeutet: Der DSB wird nicht nur informiert, sondern aktiv in den Prozess eingebunden. Seine Stellungnahme und deine Reaktion darauf dokumentierst du in der DSFA.

In der Praxis hat sich bewährt, den DSB von Anfang an einzubeziehen, nicht erst am Ende als Stempel-Instanz. Er kann bereits bei der Schwellwertanalyse unterstützen und kennt die Erwartungen der Aufsichtsbehörde.

Schritt 9: Konsultation der Aufsichtsbehörde (wenn nötig)

Wenn das Restrisiko trotz aller Maßnahmen hoch bleibt, musst du nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren, bevor du mit der Verarbeitung beginnst. Die Behörde hat dann bis zu acht Wochen Zeit für eine Stellungnahme (verlängerbar um sechs Wochen). In der Praxis kommt die vorherige Konsultation selten vor, weil die meisten Organisationen Maßnahmen finden, die das Restrisiko ausreichend senken.

Praxisbeispiel: DSFA für ein Mitarbeiter-Monitoring-System

Nehmen wir ein konkretes Beispiel. Ein mittelständisches Unternehmen mit 200 Mitarbeitern plant die Einführung einer Software, die die Produktivität von Mitarbeitern im Homeoffice misst. Die Software erfasst aktive Bildschirmzeit, genutzte Anwendungen, Tastaturaktivität und erstellt automatisch Produktivitäts-Scores.

Schwellwertanalyse: Systematische Überwachung (Kriterium 3), Bewertung/Scoring (Kriterium 1), schutzbedürftige Betroffene/Arbeitnehmer (Kriterium 7), innovative Nutzung (Kriterium 8). Vier Kriterien treffen zu. DSFA ist zwingend erforderlich.

Verarbeitungsbeschreibung: Zweck ist die Leistungsoptimierung und Ressourcenplanung. Rechtsgrundlage: berechtigtes Interesse nach Art. 6 Abs. 1 lit. f (fraglich, ob tragfähig angesichts des Eingriffs). Datenkategorien: Aktivitätsdaten, Anwendungsnutzung, Zeitstempel, aggregierte Leistungsbewertungen. Betroffene: alle Mitarbeiter im Homeoffice. Empfänger: Teamleiter und HR-Abteilung. Speicherdauer: 12 Monate.

Notwendigkeit und Verhältnismäßigkeit: Hier wird es kritisch. Ist die Erfassung von Tastaturaktivität wirklich notwendig für die Ressourcenplanung? Erreicht man das Ziel nicht auch mit weniger invasiven Mitteln, etwa durch Ergebniskontrolle statt Verhaltensüberwachung? Die DSFA könnte hier bereits ergeben, dass die Verarbeitung in dieser Form nicht verhältnismäßig ist.

Risikobewertung: Hohe Risiken ergeben sich aus der permanenten Überwachung des Arbeitsverhaltens (psychischer Druck, Gefühl der Totalüberwachung), der automatisierten Bewertung (fehlerhafte Scores könnten zu arbeitsrechtlichen Konsequenzen führen), der Verknüpfung von Aktivitätsdaten (Erstellung detaillierter Verhaltensprofile) und dem Machtungleichgewicht (Arbeitnehmer können sich faktisch nicht wehren).

Ergebnis der Beispiel-DSFA: In den meisten Fällen wird eine DSFA für ein solches System ergeben, dass der Umfang der Überwachung drastisch reduziert werden muss. Statt individueller Tastaturüberwachung vielleicht nur aggregierte Team-Statistiken, statt Echtzeit-Monitoring nur wöchentliche Zusammenfassungen, statt automatischer Produktivitäts-Scores nur anonymisierte Trendanalysen.

Typische Fehler bei der DSFA

DSFA zu spät durchführen

Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden, nicht danach. Wenn das System bereits läuft und Daten verarbeitet werden, ist die DSFA eine nachträgliche Formalie ohne echten Schutzeffekt. In der Praxis bedeutet das: Die DSFA gehört in die Planungsphase eines Projekts, nicht in die Abschlussphase.

Betroffenenperspektive ignorieren

Viele DSFAs lesen sich wie interne Risikoanalysen des Unternehmens. Die Risiken werden aus Unternehmenssicht bewertet: "Was kostet uns ein Datenleck?" statt "Was bedeutet ein Datenleck für die betroffene Person?". Dieser Fehler verfälscht die gesamte Bewertung, weil die Schadenshöhe aus Betroffenensicht eine völlig andere sein kann als aus Unternehmenssicht.

Datenschutzbeauftragten nur pro forma einbinden

Den DSB die fertige DSFA zur Unterschrift vorzulegen, ist keine Einbindung im Sinne von Art. 35 Abs. 2 DSGVO. Der DSB muss seine fachliche Einschätzung abgeben können, bevor die Entscheidungen gefallen sind. Seine Stellungnahme muss dokumentiert sein, ebenso wie deine Reaktion darauf, falls du von seiner Empfehlung abweichst.

Risiken nicht quantifizieren

"Es besteht ein Risiko unbefugten Zugriffs" ist keine Risikobewertung. Eine Risikobewertung ordnet jedem Risiko eine Schwere und eine Eintrittswahrscheinlichkeit zu und bewertet, ob die definierten Maßnahmen das Risiko ausreichend senken. Ohne diese Quantifizierung ist die DSFA ein Prosa-Text ohne analytischen Wert.

Keine Aktualisierung bei Änderungen

Eine DSFA ist kein Archivdokument. Wenn sich die Verarbeitung ändert, wenn neue Datenkategorien erhoben werden, wenn ein neuer Auftragsverarbeiter ins Spiel kommt, wenn sich die technische Infrastruktur ändert, muss die DSFA überprüft und gegebenenfalls aktualisiert werden. Art. 35 Abs. 11 DSGVO schreibt das explizit vor.

Restrisiko nicht dokumentieren

Jede DSFA muss mit einer klaren Aussage zum Restrisiko enden. Entweder: "Das Restrisiko ist nach Umsetzung der Maßnahmen vertretbar, weil ..." oder: "Das Restrisiko bleibt hoch, deshalb konsultieren wir die Aufsichtsbehörde." Keine Aussage zum Restrisiko bedeutet: Die DSFA ist unvollständig.

DSFA und ISMS: Synergien nutzen

Wenn du bereits ein ISMS nach ISO 27001 betreibst, hast du einen erheblichen Vorsprung bei der DSFA. Die Risikoidentifikation und -bewertung aus dem ISMS lässt sich als Grundlage für die DSFA nutzen, allerdings mit dem wichtigen Unterschied der Perspektive: Das ISMS bewertet Risiken für die Organisation, die DSFA bewertet Risiken für die Betroffenen.

In der Praxis lohnt es sich, beide Prozesse aufeinander abzustimmen:

• Die Asset-Inventur des ISMS (aus dem IT-Asset-Management) liefert die technische Infrastruktur für die DSFA-Verarbeitungsbeschreibung
• Die bestehenden technischen und organisatorischen Maßnahmen (TOMs) fließen direkt in die Abhilfemaßnahmen der DSFA ein
• Die Risikobewertungsmethodik aus dem ISMS kann adaptiert werden, muss aber um die Betroffenenperspektive ergänzt werden
• Der ISMS-Audit-Prozess kann um die Überprüfung der DSFAs erweitert werden

Dokumentationsanforderungen

Art. 35 Abs. 7 DSGVO definiert den Mindestinhalt einer DSFA:

1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke, gegebenenfalls einschließlich der berechtigten Interessen
2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
4. Geplante Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren

Darüber hinaus solltest du dokumentieren:

• Datum der Durchführung und beteiligte Personen
• Ergebnis der Schwellwertanalyse
• Stellungnahme des Datenschutzbeauftragten
• Ergebnis einer etwaigen Befragung der Betroffenen
• Bewertung des Restrisikos nach Umsetzung der Maßnahmen
• Entscheidung über die Konsultation der Aufsichtsbehörde
• Zeitpunkt der nächsten planmäßigen Überprüfung

Wann ist keine DSFA nötig?

Nicht jede Verarbeitung personenbezogener Daten erfordert eine DSFA. Die Aufsichtsbehörden veröffentlichen neben den Blacklists auch Whitelist-Empfehlungen für Verarbeitungen, bei denen eine DSFA typischerweise nicht erforderlich ist. Dazu gehören:

• Verarbeitung von Kundenkontaktdaten für die Vertragsabwicklung
• Lohn- und Gehaltsabrechnung (soweit keine besonderen Kategorien betroffen sind)
• Buchführung und steuerliche Aufbewahrung
• Standardmäßige Mitgliederverwaltung in Vereinen
• Betrieb einer Unternehmenswebsite ohne Tracking oder Profiling

Aber Vorsicht: Auch bei diesen Verarbeitungen kann eine DSFA nötig werden, wenn besondere Umstände hinzukommen, etwa die Verknüpfung mit anderen Datenbeständen, die Nutzung innovativer Technologien oder die Verarbeitung in einem Drittstaat ohne Angemessenheitsbeschluss.

Häufige Fragen aus der Praxis

Muss die DSFA vor der Verarbeitung abgeschlossen sein? Ja. Art. 35 Abs. 1 DSGVO spricht von "vorab". Du darfst die Verarbeitung nicht starten, bevor die DSFA abgeschlossen ist und, falls erforderlich, die Aufsichtsbehörde konsultiert wurde.

Wer ist verantwortlich für die Durchführung? Der Verantwortliche im Sinne der DSGVO, also die Geschäftsführung. In der Praxis delegiert sie die operative Durchführung an den DSB, die IT-Abteilung oder ein Projektteam. Die Verantwortung bleibt aber bei der Geschäftsführung.

Muss ich die DSFA der Aufsichtsbehörde vorlegen? Nicht proaktiv. Aber die Aufsichtsbehörde kann sie im Rahmen einer Prüfung anfordern. Du musst sie also verfügbar halten. Und im Fall der vorherigen Konsultation nach Art. 36 legst du sie natürlich vor.

Kann ich eine DSFA für mehrere ähnliche Verarbeitungen durchführen? Ja, wenn die Verarbeitungen ähnliche Art, Umfang, Umstände, Zwecke und Risiken aufweisen. Eine einzelne DSFA für alle Standorte mit identischer Videoüberwachung ist sinnvoller als zehn separate DSFAs mit identischem Inhalt.

Was passiert, wenn ich keine DSFA durchführe, obwohl ich müsste? Art. 83 Abs. 4 lit. a DSGVO sieht Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor. In der Praxis verhängen die Aufsichtsbehörden zunehmend Bußgelder für fehlende DSFAs, insbesondere bei Videoüberwachung und Beschäftigtenmonitoring.

Nächste Schritte

Beginne mit einer Bestandsaufnahme deiner Verarbeitungstätigkeiten. Nimm dein Verarbeitungsverzeichnis zur Hand und prüfe jede Verarbeitung gegen die Blacklist der zuständigen Aufsichtsbehörde und die Neun-Kriterien-Checkliste. Für jede Verarbeitung, die eine DSFA erfordert, startest du den neunstufigen Prozess. Und für jede Verarbeitung, die keine DSFA erfordert, dokumentierst du die Schwellwertanalyse mit Begründung.

Die DSFA ist kein bürokratischer Selbstzweck. Sie ist ein Werkzeug, das dich zwingt, eine Verarbeitung aus der Perspektive der Betroffenen zu betrachten, bevor du mit der Umsetzung beginnst. Richtig durchgeführt, deckt sie Schwachstellen auf, die dir sonst erst nach einem Vorfall auffallen würden, und sie gibt dir eine belastbare Dokumentation, die bei einer Prüfung durch die Aufsichtsbehörde Gold wert ist.

Weiterführende Artikel

• Verarbeitungsverzeichnis (VVA) nach Art. 30 DSGVO erstellen
• Technische und organisatorische Maßnahmen (TOMs) dokumentieren
• DSGVO-Datenpanne melden: Wann, wie und an wen
• Löschkonzept nach DSGVO: Aufbewahrungsfristen, Löschregeln und Umsetzung
• Betroffenenrechte umsetzen: Auskunft, Löschung und Datenportabilität

Die DSFA ist einer der anspruchsvollsten, aber auch einer der wertvollsten Prozesse im Datenschutz. Sie erfordert Fachwissen, Sorgfalt und die Bereitschaft, eine geplante Verarbeitung kritisch zu hinterfragen. Genau das macht sie so wirkungsvoll.