SendMeSafe
Registrieren
Glossar5 min read

Datenschutz-Folgenabschätzung (DSFA)

Was ist eine Datenschutz-Folgenabschätzung? Erfahren Sie, wann eine DSFA nach DSGVO erforderlich ist, wie sie durchgeführt wird und was sie enthalten muss.

DSFADatenschutz-FolgenabschätzungDSGVORisikobewertungCompliance

Datenschutz-Folgenabschätzung (DSFA)

Definition

Die Datenschutz-Folgenabschätzung (DSFA), im Englischen Data Protection Impact Assessment (DPIA), ist ein in Art. 35 der Datenschutz-Grundverordnung (DSGVO) vorgeschriebenes Verfahren zur systematischen Bewertung der Risiken einer Datenverarbeitung für die Rechte und Freiheiten natürlicher Personen. Eine DSFA ist verpflichtend, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko birgt, insbesondere bei der Verwendung neuer Technologien.

Die DSFA muss mindestens enthalten: eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die zur Bewältigung dieser Risiken vorgesehenen Maßnahmen. Die Aufsichtsbehörden veröffentlichen Listen von Verarbeitungstätigkeiten, für die eine DSFA obligatorisch ist (sogenannte Positivlisten).

Einfach erklärt

Stellen Sie sich vor, Sie planen einen Umbau in Ihrem Haus. Bevor Sie eine tragende Wand entfernen, beauftragen Sie einen Statiker, der prüft, ob das Gebäude danach noch stabil ist. Er bewertet die Risiken und schlägt Maßnahmen vor, etwa zusätzliche Stützpfeiler.

Eine Datenschutz-Folgenabschätzung funktioniert ähnlich: Bevor Sie ein neues System einführen, das mit personenbezogenen Daten arbeitet, prüfen Sie systematisch, welche Risiken für die betroffenen Personen entstehen könnten. Sie fragen sich: Was könnte schiefgehen? Wie wahrscheinlich ist das? Wie schwerwiegend wären die Folgen? Und vor allem: Was können wir tun, um die Risiken zu minimieren?

Warum ist das wichtig?

Die DSFA ist ein zentrales Instrument des risikobasierten Ansatzes der DSGVO. Sie zwingt Unternehmen dazu, Datenschutz von Anfang an mitzudenken (Privacy by Design):

  • Gesetzliche Pflicht: Art. 35 DSGVO verpflichtet Unternehmen zur Durchführung einer DSFA bei Verarbeitungen mit voraussichtlich hohem Risiko. Ein Verstoß kann Bußgelder nach sich ziehen.
  • Risikoprävention: Die DSFA identifiziert Risiken, bevor sie sich materialisieren. Sie ermöglicht es, Schutzmaßnahmen proaktiv zu implementieren, anstatt nach einer Datenpanne reagieren zu müssen.
  • Dokumentation: Die DSFA dokumentiert den Entscheidungsprozess und zeigt Aufsichtsbehörden, dass das Unternehmen sich mit den Risiken auseinandergesetzt hat.
  • Konsultationspflicht: Wenn die DSFA ergibt, dass die Verarbeitung trotz Schutzmaßnahmen ein hohes Restrisiko birgt, muss die zuständige Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO).
  • Vertrauensbildung: Kunden und Geschäftspartner schätzen Transparenz. Eine durchgeführte DSFA signalisiert, dass Datenschutz ernst genommen wird.

Praxisbeispiel

Ein Personalvermittlungsunternehmen plant die Einführung einer neuen Plattform, über die Bewerber ihre Unterlagen (Lebensläufe, Zeugnisse, Gehaltsvorstellungen) digital einreichen können. Die Unterlagen werden in einer Cloud gespeichert und von den Personalberatern ausgewertet.

Vor der Einführung führt das Unternehmen eine DSFA durch:

  1. Beschreibung: Die Plattform verarbeitet personenbezogene Daten von Bewerbern, darunter Name, Adresse, Berufserfahrung, Gehaltsvorstellungen und möglicherweise Gesundheitsdaten (z. B. Schwerbehindertenausweis).
  2. Risikobewertung: Hohes Risiko durch die Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten), umfangreiche Verarbeitung und Profiling-Potenzial.
  3. Maßnahmen: Verschlüsselung aller Daten, rollenbasierte Zugriffskontrollen, automatische Löschung nach definierten Fristen, Audit-Trail für alle Zugriffe, Passwortschutz für Upload-Links.
  4. Ergebnis: Nach Implementierung der Maßnahmen wird das Restrisiko als akzeptabel bewertet.

Die dokumentierte DSFA kann bei einer Prüfung vorgelegt werden und belegt die sorgfältige Auseinandersetzung mit dem Thema.

So setzt SendMeSafe das um

SendMeSafe unterstützt Unternehmen dabei, ihre Pflicht zur Datenschutz-Folgenabschätzung zu erfüllen, indem wir die notwendigen Informationen und Sicherheitsmaßnahmen bereitstellen:

  • Transparente Verarbeitung: Wir dokumentieren präzise, welche Daten wie verarbeitet werden, sodass Kunden diese Informationen direkt in ihre DSFA einfließen lassen können.
  • Umfassende TOM: Unsere implementierten technischen und organisatorischen Maßnahmen reduzieren die Risiken bei der Dokumentenübertragung erheblich.
  • AVV mit TOM-Anlage: Der Auftragsverarbeitungsvertrag mit detaillierter TOM-Beschreibung liefert alle Informationen, die für die Risikobewertung eines Auftragsverarbeiters benötigt werden.
  • Minimale Datenverarbeitung: SendMeSafe erhebt nur die Daten, die für den sicheren Dateitransfer notwendig sind. Upload-Links können ohne personenbezogene Daten des Absenders erstellt werden, was das Risikoprofil senkt.
  • Hosting in Deutschland: Da alle Daten auf Servern in Deutschland gespeichert werden, entfallen die Risiken, die mit internationalem Datentransfer verbunden sind.
  • Sicherheitskontrollen: Passwortschutz, Ablaufdaten und Download-Limits für Share-Links bieten granulare Kontrollmöglichkeiten, die das Risiko der Verarbeitung reduzieren.

Häufig gestellte Fragen

Wann ist eine DSFA verpflichtend?

Eine DSFA ist nach Art. 35 DSGVO verpflichtend, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen birgt. Die deutschen Aufsichtsbehörden haben eine Positivliste veröffentlicht, die typische Fälle umfasst, etwa systematische Überwachung, umfangreiche Verarbeitung besonderer Datenkategorien oder die Verarbeitung von Daten schutzbedürftiger Personen. Beim reinen Dateitransfer über eine sichere Plattform ist eine DSFA in der Regel nicht erforderlich, es sei denn, die übertragenen Daten sind besonders sensibel.

Wer ist für die Durchführung der DSFA verantwortlich?

Die DSFA ist Aufgabe des Verantwortlichen, also des Unternehmens, das die Datenverarbeitung plant. Der Datenschutzbeauftragte ist beratend einzubeziehen (Art. 35 Abs. 2 DSGVO). Auftragsverarbeiter wie SendMeSafe sind verpflichtet, bei der DSFA zu unterstützen und die erforderlichen Informationen bereitzustellen.

Was passiert, wenn ich keine DSFA durchführe, obwohl sie erforderlich wäre?

Die Nichtdurchführung einer erforderlichen DSFA ist ein Verstoß gegen Art. 35 DSGVO und kann mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Darüber hinaus können Aufsichtsbehörden die Verarbeitung untersagen, bis eine DSFA durchgeführt wurde.

Muss ich die DSFA wiederholen?

Ja, die DSFA ist kein einmaliger Vorgang. Sie muss überprüft werden, wenn sich die Risikosituation wesentlich ändert, etwa bei Einführung neuer Technologien, Erweiterung des Verarbeitungsumfangs oder nach Sicherheitsvorfällen. Eine regelmäßige Überprüfung, mindestens jährlich, ist empfehlenswert.

Verwandte Begriffe

DSGVO (Datenschutz-Grundverordnung)Personenbezogene DatenTechnische und organisatorische Maßnahmen (TOM)Datenschutzbeauftragter (DSB)

Häufig gestellte Fragen

Sicherheit in der Praxis

Erleben Sie DSGVO-konforme Dateiübertragung mit SendMeSafe.

Jetzt kostenlos testen