Datenschutzfolgeabschätzung

Datenschutzfolgeabschätzung


Zur Beratung und Durchführung einer Datenschutz-Folgenabschätzung unterstützen wir den Verantwortlichen durch einen Datenschutzbeauftragten.


Was ist eine Datenschutz-Folgenabschätzung?


Eine Datenschutz-Folgenabschätzung (DSFA) ist ein Instrument, mit dem die Datenschutzrisiken von Systemen und Verarbeitungen erfasst und die Maßnahmen zur Risikominderung dokumentiert werden können. Die Verantwortliche Stelle muss die Auswirkungen einer geplanten Verarbeitungstätigkeit beurteilen und bewerten, wenn sie ein erhöhtes Risiko für die betroffene Person darstellt.


Im Falle einer Datenschutz-Folgenabschätzung erfolgt eine Risikoanalyse durch den Datenschutzbeauftragten bezüglich der Rechte und Freiheiten von Betroffenen. Geprüft werden Datenverarbeitungsvorgänge, die eine hohe potentielle Gefährdung von Rechten und Freiheiten der Betroffenen mit sich bringen.


Im Anschluss der Prüfung legt der Datenschutzbeauftragte seinen Fokus auf die Rechtmäßigkeit der Datenverarbeitung. So werden mögliche Risiken und Folgen für die Rechten und Freiheiten Betroffener bewertet.


Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?


Nicht jedes Unternehmen muss eine Datenschutz-Folgenabschätzung durchführen. Nach DSGVO ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.


Beispiele bei der eine Vorabkontrolle erfolgen muss:

  • Systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

  • Gesichtserkennung bei Videoüberwachung

  • Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten

  • Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten

  • Besondere Arten personenbezogener Daten die in erheblichem Umfang gespeichert, verarbeitet und genutzt werden

  • Datenverarbeitung zum Zwecke des Profilings oder Scoringverfahren

  • Profiling oder Scoring (systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen)

  • Umfangreiche Verarbeitung schützenswerter personenbezogener Daten wie biometrische Daten, Daten zu Herkunft oder Daten zur Weltanschauung

Was ist bei einer Datenschutz-Folgenabschätzung zu beachten?


  • Beschreibung aller geplanten Verarbeitungsvorgänge

  • Beschreibung zum Zweck der Verarbeitung

  • Bewertung ob eine Notwendigkeit und Verhältnismäßigkeitder Verarbeitung besteht

  • Risikobewertung der Rechte und Freiheiten der betroffenen Personen

  • Geplante Abhilfemaßnahmenzur Bewältigung der Risiken (einschließlich Garantien,  Sicherheitsvorkehrungen und Verfahren)

Zur Unterstützung einer Datenschutz-Folgenabschätzungveröffentlichen die Datenschutzaufsichtsbehörden aktualisierte Positiv- und Negativlisten (Whitelist/Blacklist), in denen aufgelistet ist, für welche Fälle eine Datenschutz-Folgenabschätzung zwingend erforderlich bzw. entfallen kann.


Whitelist: Eine definitive Whitelist der Bundesländer, wann keine Folgenabschätzung erforderlich ist, liegt noch nicht vor.


Blacklist: Befindet sich der beabsichtigte Verarbeitungsvorgang auf dieser „Blacklist“, ist der Verantwortliche zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet. Die Beurteilung, ob der Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat, ist in diesen Fällen bereits durch die Aufsichtsbehörde erfolgt und wird dem Verantwortlichen insoweit abgenommen. Ist eine Verarbeitungstätigkeit nicht auf dieser Liste enthalten, ergibt sich nicht zwingend eine Nicht-Ausführung einer Datenschutz-Folgenabschätzung. Insbesondere bei einem Einsatz von innovativen Technologien ist eine individuelle Risikobeurteilung durchzuführen.


Der Verantwortliche ist nach Artikel 36 Abs. 1-3 DS-GVO verpflichtet die Aufsichtsbehörde vor einer hochriskanten Verarbeitung zu konsultieren. Dies bedeutet, dass eine Datenschutz-Folgenabschätzung (DS-FA) an die zuständige Aufsichtsbehörde zu übermitteln ist, wenn nach durchgeführter DS-FA die Verarbeitung noch immer ein hohes Risiko zur Folge hätte und die Risiken der geplanten Verarbeitung nicht erfolgreich eingedämmt werden können.