FAQ zur Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung (DSFA) gehört zu den wichtigsten Instrumenten der DSGVO. Denn sie kommt immer dann zum Einsatz, wenn eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen erwarten lässt. Viele Verantwortliche sind jedoch unsicher, wann eine DSFA erforderlich ist, wie sie abläuft und welche Fehler sich vermeiden lassen. Die folgenden Fragen geben eine Orientierung für die praktische Umsetzung.

Wann ist eine Datenschutz-Folgenabschätzung notwendig?

Eine DSFA ist immer dann notwendig, wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Solche Risiken können insbesondere durch den Einsatz neuer Technologien entstehen, etwa bei KI-gestützten Systemen oder bei biometrischen Zugangskontrollen.

Konkrete Fälle, in denen typischerweise ein hohes Risiko besteht, nennt Art. 35 Abs. 3 DSGVO: Darunter fallen etwa umfangreiche Überwachungen öffentlich zugänglicher Bereiche oder die systematische Bewertung persönlicher Merkmale. Zusätzlich veröffentlichen die Aufsichtsbehörden Listen mit Verarbeitungstätigkeiten, für die eine DSFA verpflichtend ist.

Ob ein hohes Risiko zu erwarten ist, hängt also nicht allein von der Technologie ab, entscheidend ist vielmehr auch der Umfang der Verarbeitung und die möglichen Folgen für die betroffenen Personen.

Wie läuft eine Datenschutz-Folgenabschätzung ab?

Die DSFA folgt einem strukturierten Ablauf. Verantwortliche sollten dabei die folgenden Schritte berücksichtigen:

1. Beschreibung der geplanten Verarbeitung und ihrer Zwecke
2. Bewertung von Notwendigkeit und Verhältnismäßigkeit
3. Analyse der Risiken für betroffene Personen
4. Festlegung geeigneter Maßnahmen zur Risikominimierung

Eine DSFA ist aber kein reiner Formalakt. Sie ist mehr ein Prozess, der dokumentiert und im Zweifel gegenüber der Aufsichtsbehörde nachvollziehbar begründet werden muss. Die Wirksamkeit der eingesetzten Schutzmaßnahmen sollte deswegen regelmäßig überprüft werden, auch dann, wenn sich Anforderungen oder Rahmenbedingungen ändern.

Welche Rolle spielen Risiko und Risikoabwägung?

Die DSGVO verlangt, dass Verantwortliche Risiken für betroffene Personen bewerten und auf ein vertretbares Maß reduzieren. Die Risikoabwägung orientiert sich an der Wahrscheinlichkeit eines Schadens und der Schwere möglicher Auswirkungen. Häufig unterschätzen Verantwortliche, wie tief bestimmte Verarbeitungen in die Privatsphäre eingreifen. Besonders relevant sind etwa Diskriminierungsgefahren, wirtschaftliche Nachteile oder der Verlust der Kontrolle über eigene Daten.

Für die Bewertung hilft es deshalb, realistische Szenarien zu entwickeln und konkrete Beispiele zu betrachten. Viele Aufsichtsbehörden stellen dafür hilfreiche Leitfäden bereit. Die Risikoanalyse bildet das Kernstück jeder DSFA und beeinflusst sämtliche weiteren Maßnahmen.

Welche typischen Fehler lassen sich vermeiden?

In der Praxis treten immer wieder ähnliche Schwierigkeiten auf:

• Die DSFA wird zu spät begonnen. Sie muss vor dem Start der Verarbeitung abgeschlossen sein.
• Die DSFA wird mit einer technischen Sicherheitsprüfung verwechselt. Hinweise zur Informationssicherheit reichen nicht aus.
• Rollen und Entscheidungswege sind unklar. Verantwortliche und IT-Abteilungen arbeiten nicht eng genug zusammen.
• Änderungen an Systemen oder Zwecken werden nicht berücksichtigt, sodass ein erneuter DSFA-Bedarf oft übersehen wird.

Der praktische Mehrwert einer guten DSFA

Die Datenschutz-Folgenabschätzung ist insgesamt ein wirkungsvolles Werkzeug, um Risiken frühzeitig zu erkennen und passende Schutzmaßnahmen zu planen. Art. 35 DSGVO verpflichtet Verantwortliche dazu, diesen Prozess ernst zu nehmen und sorgfältig zu dokumentieren.

Unsere Beratungserfahrung zeigt, dass eine gut durchgeführte DSFA nicht nur Compliance sichert, sondern auch bessere und bewusstere Entscheidungen im Umgang mit neuen Technologien ermöglicht. Wir unterstützen Sie gerne dabei, DSFA-Prozesse rechtssicher aufzusetzen und weiterzuentwickeln.