Zum Hauptinhalt springen
Regulatorik 4 min read

Datenschutz-Folgenabschätzung (DSFA): Praktischer Leitfaden

Ein praktischer Leitfaden zur DSFA unter der DSGVO — wann sie erforderlich ist, wie Sie eine durchführen und was sie enthalten muss. Mit Vorlagen und Beispielen.

BrotCode
Read in English
Datenschutz-Folgenabschätzung (DSFA): Praktischer Leitfaden

Sie brauchen wahrscheinlich eine DSFA. So machen Sie es ohne Kopfschmerzen.

Datenschutz-Folgenabschätzungen klingen nach bürokratischem Papierkram. Sind sie nicht. Richtig durchgeführt, ist die DSFA das praktischste Instrument, um Datenschutzrisiken zu identifizieren, bevor sie zu Compliance-Problemen werden.

DSGVO Artikel 35 verlangt eine DSFA, wenn die Verarbeitung “voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen” mit sich bringt. In der Praxis erfasst das mehr Verarbeitungstätigkeiten als die meisten Teams denken.

Ein neues KI-Feature für Kunden entwickeln? DSFA. Biometrische Daten verarbeiten? DSFA. Großangelegtes Profiling oder Monitoring? DSFA. Datensätze aus mehreren Quellen kombinieren? Wahrscheinlich auch DSFA.

Wann ist eine DSFA erforderlich?

Der EDPB und die nationalen Datenschutzbehörden stellen Triggerlisten bereit. Wenn Ihre Verarbeitung zwei der folgenden neun Kriterien trifft, brauchen Sie wahrscheinlich eine DSFA:

  1. Bewertung oder Scoring (einschließlich Profiling und Vorhersagen)
  2. Automatisierte Entscheidungsfindung mit rechtlicher oder ähnlich erheblicher Wirkung
  3. Systematische Überwachung (öffentliche Bereiche, Mitarbeiterverfolgung)
  4. Verarbeitung sensibler Daten oder hochpersönlicher Daten
  5. Großangelegte Verarbeitung
  6. Abgleich oder Kombination von Datensätzen
  7. Daten betreffend schutzbedürftiger Personen (Kinder, Beschäftigte, Patienten)
  8. Innovative Nutzung von Technologie (KI, IoT, Biometrie)
  9. Verarbeitung, die Personen an der Ausübung eines Rechts hindert

Zwei von neun? Sie führen eine DSFA durch.

Der DSFA-Prozess: Sieben Schritte

Schritt 1: Verarbeitung beschreiben

Seien Sie spezifisch. Nicht “wir erheben Nutzerdaten.” Stattdessen: “Wir erheben E-Mail-Adressen, Browserverlauf und Kaufhistorie registrierter Nutzer über unsere Webanwendung. Diese Daten werden in AWS eu-central-1 verarbeitet und an unseren E-Mail-Marketing-Anbieter für personalisierte Produktempfehlungen weitergegeben.”

Einbeziehen: Datentypen, Datenquellen, Verarbeitungszwecke, Datenempfänger, Aufbewahrungsfristen und beteiligte technische Systeme.

Schritt 2: Notwendigkeit und Verhältnismäßigkeit bewerten

Warum brauchen Sie diese Verarbeitung? Können Sie denselben Zweck mit weniger Daten erreichen?

Hier wird es für die meisten Teams unbequem. Ihre Marketingabteilung will alles tracken. Die DSFA erzwingt die Frage: Brauchen Sie das wirklich alles? Oft lautet die Antwort nein.

Dokumentieren Sie Ihre Rechtsgrundlage für jeden Verarbeitungszweck. Einwilligung, berechtigtes Interesse oder Vertragserfüllung.

Schritt 3: Risiken identifizieren

Was könnte für die Personen schiefgehen, deren Daten Sie verarbeiten? Denken Sie über Datenpannen hinaus.

Unbefugter Zugriff auf personenbezogene Daten. Datennutzung für unerwartete Zwecke. Ungenaue Daten, die zu falschen Entscheidungen führen. Personen, die ihre Daten nicht abrufen, korrigieren oder löschen können. Diskriminierung durch automatisiertes Profiling.

Jedes Risiko nach Wahrscheinlichkeit und Schwere bewerten.

Schritt 4: Maßnahmen zur Risikominderung identifizieren

Für jedes Risiko konkrete Maßnahmen definieren. Technische Maßnahmen: Verschlüsselung, Zugriffskontrollen, Anonymisierung, Datenminimierung. Organisatorische Maßnahmen: Schulungen, Richtlinien, Zugriffsüberprüfungen.

Schritt 5: DSB konsultieren

Wenn Sie einen Datenschutzbeauftragten haben, beziehen Sie ihn durchgehend ein. Nicht nur für die Freigabe am Ende.

Schritt 6: Dokumentieren und aufbewahren

Das DSFA-Dokument sollte enthalten: Verarbeitungsbeschreibung, Notwendigkeitsbewertung, Risikobewertung, Minderungsmaßnahmen, DSB-Konsultationsergebnis und Genehmigungsentscheidung.

Als lebendes Dokument führen. Aktualisieren, wenn sich die Verarbeitung ändert oder mindestens alle drei Jahre.

Schritt 7: Vorherige Konsultation (falls erforderlich)

Wenn Ihre DSFA ein hohes Restrisiko trotz Minderungsmaßnahmen feststellt, müssen Sie Ihre Aufsichtsbehörde konsultieren. In Deutschland ist das die zuständige Landesdatenschutzbehörde.

Häufige DSFA-Auslöser für Softwareteams

KI und Machine Learning. Jedes KI-System, das personenbezogene Daten für Vorhersagen, Empfehlungen oder automatisierte Entscheidungen verarbeitet. Besonders relevant mit der Überschneidung von KI-Gesetz und DSGVO.

Kundenanalyse-Plattformen. Kombination von Kaufhistorie, Browserverhalten, Demografie und Engagement-Daten. Das trifft Bewertung, Scoring und Datensatzabgleich. Drei Kriterien.

Mitarbeitendenüberwachungs-Tools. Bildschirmaufzeichnung, Standortverfolgung, Produktivitätsbewertung. Systematische Überwachung schutzbedürftiger Personen.

IoT und vernetzte Produkte. Smart Devices, die kontinuierlich Daten in privaten Räumen erheben.

Wie eine gute DSFA aussieht

Kurzantwort: spezifisch, ehrlich und umsetzbar.

Eine schlechte DSFA liest sich wie eine Vorlage mit ausgefüllten Lücken. “Wir haben angemessene Sicherheitsmaßnahmen implementiert.” Das sagt einer Aufsichtsbehörde nichts.

Eine gute DSFA liest sich wie ein Engineering-Dokument.

“Personenbezogene Nutzerdaten werden im Ruhezustand mit AES-256 und kundenverwalteten Schlüsseln in AWS KMS verschlüsselt. Der Zugriff ist auf drei namentlich benannte Administratoren über IAM-Rollen mit MFA beschränkt.”

Konkret. Benannte Technologie. Quantifizierte Aufbewahrung. Das wollen Regulierungsbehörden sehen.

Seien Sie konkret. Benennen Sie die Technologie. Beschreiben Sie die Architektur.

Die Digital-Omnibus-Änderungen

Der vorgeschlagene Digital Omnibus würde DSFA-Anforderungen EU-weit harmonisieren. Der EDPB würde einheitliche Listen erstellen, welche Verarbeitungstätigkeiten eine DSFA erfordern und welche nicht, plus eine Standard-Vorlage und -Methodik. Nach Genehmigung würden diese EU-weiten Listen nationale Listen ersetzen.

Das ist eine gute Nachricht. Derzeit hat jeder EU-Mitgliedsstaat seine eigene Triggerliste. Harmonisierung bedeutet ein einheitliches Regelwerk.

Warten Sie nicht darauf. Führen Sie DSFAs nach aktuellen Anforderungen durch.

Für den breiteren Regulierungskontext siehe unseren Pillar-Guide zur EU-Compliance für Softwareteams. Für Architekturmuster: DSGVO-konforme Softwarearchitektur. Und wenn KI-Systeme Ihre DSFA auslösen: unser EU-KI-Gesetz-Guide.

Brauchen Sie Hilfe bei einer DSFA für Ihr Softwareprojekt? Lassen Sie uns sie gemeinsam durcharbeiten. Wir helfen Teams, Datenschutzrisiken früh zu identifizieren und Systeme zu entwerfen, die standardmäßig konform sind.

Artikel teilen
DSGVO Compliance Sicherheit Architektur

Verwandte Artikel

Brauchen Sie Hilfe beim Bauen?

Wir verwandeln komplexe technische Herausforderungen in produktionsreife Lösungen. Sprechen wir über Ihr Projekt.

Kontakt aufnehmen So arbeiten wir