Sie planen ein neues IT-System. Brauchen Sie eine DSFA?
Wahrscheinlich ja. Artikel 35 der DSGVO schreibt eine Datenschutz-Folgenabschätzung vor, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte natürlicher Personen hat. Und “hohes Risiko” ist schneller erreicht, als viele denken.
Wer die DSFA unterlässt, obwohl sie Pflicht war, riskiert Bußgelder. Das ist keine Theorie. Aufsichtsbehörden prüfen aktiv.
Wann ist eine DSFA Pflicht?
Die DSGVO nennt drei klare Fälle:
Systematische Bewertung persönlicher Aspekte durch automatisierte Verarbeitung. Profiling, Scoring, automatisierte Entscheidungen. Wenn Ihre Software automatisch bewertet, ob ein Kunde kreditwürdig ist oder ein Bewerber geeignet, brauchen Sie eine DSFA.
Umfangreiche Verarbeitung besonderer Datenkategorien. Gesundheitsdaten, biometrische Daten, Daten über religiöse Überzeugungen oder Gewerkschaftszugehörigkeit. Auch Personalverwaltungssysteme mit Gesundheitsdaten fallen darunter.
Systematische Überwachung öffentlich zugänglicher Bereiche. Videoüberwachung, WLAN-Tracking, Standorterfassung.
Darüber hinaus hat die Datenschutzkonferenz (DSK) eine Positivliste veröffentlicht mit Verarbeitungen, die immer eine DSFA erfordern. Die zuständige Aufsichtsbehörde Ihres Bundeslandes stellt diese Liste bereit.
Der Prozess in sechs Schritten
Schritt 1: Verarbeitung beschreiben
Dokumentieren Sie, welche Daten Sie verarbeiten, warum, wie und wie lange. Klingt einfach. Ist in der Praxis oft der aufwändigste Schritt, weil niemand den kompletten Datenfluss kennt.
Schritt 2: Notwendigkeit und Verhältnismäßigkeit prüfen
Ist die Verarbeitung für den Zweck notwendig? Erheben Sie nur die Daten, die Sie tatsächlich brauchen? Datenminimierung ist ein Grundprinzip der DSGVO.
Wenn Sie für eine Terminbuchung den Geburtstag abfragen, ist das nicht verhältnismäßig. Wenn Sie für eine Altersprüfung den Geburtstag abfragen, schon.
Schritt 3: Risiken identifizieren
Was könnte schiefgehen? Datenleck, unbefugter Zugriff, falsche Entscheidungen durch fehlerhafte Algorithmen, Diskriminierung durch Bias in KI-Systemen.
Bewerten Sie jedes Risiko nach Eintrittswahrscheinlichkeit und Schwere der Auswirkungen. Nicht abstrakt, sondern für Ihre konkrete Verarbeitung.
Schritt 4: Maßnahmen zur Risikominderung
Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen, automatische Löschfristen, Audit-Logs. Für jedes identifizierte Risiko eine oder mehrere Gegenmaßnahmen.
Schritt 5: Datenschutzbeauftragten einbinden
Artikel 35 Absatz 2 schreibt die Einholung des Rats des Datenschutzbeauftragten vor. Das ist Pflicht, keine Empfehlung.
Schritt 6: Dokumentieren und aktualisieren
Die DSFA ist kein einmaliges Dokument. Sie muss bei wesentlichen Änderungen der Verarbeitung aktualisiert werden. Neues Feature, neuer Datentyp, neuer Dienstleister: alles Anlässe für eine Aktualisierung.
Typische Fälle aus der Praxis
Ein Personalverwaltungssystem mit Gesundheitsdaten und automatisierter Schichtplanung. DSFA-Pflicht, weil besondere Datenkategorien und Profiling zusammenkommen.
Eine KI-gestützte Bewerbervorauswahl. DSFA-Pflicht, weil automatisierte Entscheidungsfindung mit erheblichen Konsequenzen für die Betroffenen.
Ein CRM-System mit Kundensegmentierung und Scoring. Grenzfall. Wenn das Scoring nur für Marketing-Personalisierung dient: wahrscheinlich keine DSFA-Pflicht. Wenn es Kreditentscheidungen beeinflusst: Pflicht.
Ein Online-Shop mit Standard-Zahlungsabwicklung und Cookie-Consent. In der Regel keine DSFA-Pflicht, sofern keine besonderen Datenkategorien verarbeitet werden.
Wie der Bitkom-Leitfaden hilft
Der Bitkom hat gemeinsam mit dem LfDI einen Praxisleitfaden zum Risk Assessment und zur DSFA veröffentlicht. Er enthält Vorlagen, Bewertungsmatrizen und Beispiele.
Das Dokument ist kostenlos verfügbar und bietet einen strukturierten Ansatz, der auch ohne Datenschutzjuristen umgesetzt werden kann. Nutzen Sie es als Ausgangspunkt.
DSFA und Softwareentwicklung
Wenn Sie Software entwickeln lassen, sollte die DSFA bereits in der Planungsphase beginnen. Nicht erst nach dem Launch.
Privacy by Design nach Artikel 25 DSGVO verlangt, dass Datenschutzmaßnahmen schon bei der Technikgestaltung berücksichtigt werden. Eine DSFA, die erst nach der Fertigstellung durchgeführt wird, kommt zu spät.
Unser Beitrag zu DSGVO-konformer Softwareentwicklung zeigt, wie Sie Privacy by Design von Anfang an einbauen. Den regulatorischen Gesamtkontext beschreibt unser EU-Compliance-Leitfaden.
Sie planen ein Datenverarbeitungsprojekt und sind unsicher, ob eine DSFA nötig ist? Vereinbaren Sie ein Erstgespräch. Wir bauen Datenschutz von Anfang an in die Architektur ein.