Kurz erklärt
Eine Datenschutz-Folgenabschätzung bewertet Risiken einer Datenverarbeitung für die Betroffenen. Sie ist nach DSGVO bei besonders risikoreichen Verarbeitungen vorgeschrieben.
Eine Datenschutz-Folgenabschätzung bewertet Risiken einer Datenverarbeitung für die Betroffenen. Sie ist nach DSGVO bei besonders risikoreichen Verarbeitungen vorgeschrieben.
Eine Datenschutz-Folgenabschätzung ist nach der DSGVO erforderlich, wenn eine geplante Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt.
Typische Auslöser sind die umfangreiche Verarbeitung sensibler Daten, systematische Überwachung öffentlich zugänglicher Bereiche oder der Einsatz neuer Technologien mit unklaren Folgen. Bestehen Zweifel, ob ein hohes Risiko vorliegt, ist eine Abschätzung im Zweifel sinnvoll. Sie wird vor Beginn der Verarbeitung durchgeführt, nicht erst im Nachhinein.
Die Abschätzung beschreibt zunächst die geplante Verarbeitung und ihren Zweck. Anschließend wird bewertet, ob die Verarbeitung notwendig und verhältnismäßig ist.
Die technischen und organisatorischen Maßnahmen werden dabei konkret auf die erkannten Risiken zugeschnitten. Das Ergebnis wird dokumentiert und bei Bedarf aktualisiert.
Das Verarbeitungsverzeichnis listet sämtliche Verarbeitungstätigkeiten eines Unternehmens auf und ist eine grundlegende Dokumentationspflicht für nahezu jede Organisation.
Die Datenschutz-Folgenabschätzung geht tiefer und betrifft nur einzelne, besonders risikoreiche Verarbeitungen. Sie analysiert deren Risiken im Detail und legt gezielte Gegenmaßnahmen fest. Das Verzeichnis ist also die Breite, die Folgenabschätzung die Tiefe — beide ergänzen sich und ersetzen einander nicht.
FAQ
Kurz und konkret beantwortet.
DSFA steht für Datenschutz-Folgenabschätzung, im Englischen Data Protection Impact Assessment. Gemeint ist die strukturierte Analyse der Risiken, die eine geplante Datenverarbeitung für die betroffenen Personen mit sich bringt, samt geeigneter Gegenmaßnahmen.
Verantwortlich ist die Organisation, die über Zweck und Mittel der Verarbeitung entscheidet. Der Datenschutzbeauftragte berät und begleitet die Abschätzung, führt sie aber nicht in eigener Verantwortung durch. Die Entscheidung über die Verarbeitung bleibt bei der Leitung.
Lässt sich ein hohes Risiko trotz Maßnahmen nicht ausreichend senken, muss vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultiert werden. Diese kann Empfehlungen aussprechen oder die Verarbeitung in dieser Form untersagen.
Verwandte Begriffe
Noch Fragen?
Ob Compliance & Recht oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.