Was beinhaltet eine DSFA?
Wie der Name vermuten lässt, geht es um die Abschätzung der möglichen Folgen einer Verarbeitung von personenbezogenen Daten. Der Fokus liegt dabei jedoch nicht auf dem, der diese Daten verarbeitet, sondern auf den Betroffenen. Folgen meint hier die Auswirkung auf die Rechte und Freiheiten der betroffenen Personen.Private und behördliche verantwortliche Datenbearbeiter müssen eine Datenschutz-Folgenabschätzung (DSFA) erstellen, wenn bei Personendatenbearbeitungen ein potenziell hohes Risiko für die Persönlichkeit oder die Grundrechte der Betroffenen erkennbar ist.Die Aufsichtsbehörden müssen gemäß Art. 35 Abs. 4 DSGVO im Rahmen ihres jeweiligen Zuständigkeitsbereichs eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine DSFA nach Abs. 1 durchzuführen ist.

Wann ist DSFA notwendig : Eine Datenschutz-Folgenabschätzung ( DSFA ) ist gemäß Artikel 35 Absatz 1 der Datenschutzgrundverordnung ( DSGVO ) immer dann erforderlich, wenn eine geplante Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Wie muss ein datenschutzkonzept aussehen

Aufbau und Gliederung eines Datenschutzkonzeptes

Beschreibung der personenbezogenen Daten und Angabe der jeweiligen Zweckbindung (Nutzungszweck) Angaben zur verantwortlichen Stelle. Beschreibung der Gewährleistung von Betroffenenrechten. Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz.

Was ist eine Folgenabschätzung : In Folgenabschätzungen wird geprüft, ob Maßnahmen der EU erforderlich sind, und welche Auswirkungen die vorgeschlagenen Lösungen hätten. Folgenabschätzungen werden in der Vorbereitungsphase durchgeführt, also noch bevor die Kommission einen Vorschlag für eine neue Rechtsvorschrift abschließt.

Neue Gesetzgebung erfordert häufiger Durchführung der DSFA

35 Abs. 4 legt fest, dass die Aufsichtsbehörden dafür zuständig sind, im Rahmen ihres Zuständigkeitsbereichs eine Liste derjenigen Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.

Das Recht besteht, wenn Sie als Verantwortlicher: persönliche Daten verarbeiten, die auf Basis eines Vertrags oder einer Einwilligung. von der betroffenen Person bereitgestellt (also in Ihr System eingegeben oder von ihrem System direkt bei der Person erhoben) wurden.

Wie mache ich eine Datenschutzfolgeabschätzung

Vorgehensweise zur Durchführung einer DSFA

  1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke.
  2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung.
  3. Risikobewertung.
  4. Geplante Abhilfemaßnahmen zur Bewältigung der Risiken.

Die Grundprinzipien wie Zweckbindung, Datenminimierung und Transparenzgebot bleiben erhalten.Folgende Inhalte sollten sich jedoch mindestens in einem Datenschutzkonzept finden:

  1. Datenschutzpolitik und Verantwortlichkeiten im Unternehmen.
  2. Rechtliche Rahmenbedingungen im Unternehmen.
  3. Dokumentation.
  4. Bestehende technische und organisatorische Maßnahmen.
  5. Organisatorische Mindestregelungen.


Eine Datenschutz-Folgenabschätzung ist nur durchzuführen, wenn eine Risikobewertung ergibt, dass eine Datenverarbeitung ein hohes oder sehr hohes Risiko (in der Skalierung: ausschließlich die gelben und roten Felder) für die Betroffenen, deren Daten verarbeitet werden, zur Folge hat.

Wo ist die Datenschutz-Folgenabschätzung geregelt : Mit der Datenschutzreform 2018 wurde die Datenschutz-Folgenabschätzung (DSFA) als Instrument der datenschutzrechtlichen Risikobetrachtung und -bewertung neu eingeführt. Die DSFA ist in Art. 35 Datenschutz-Grundverordnung (DSGVO) geregelt.

Welche Daten dürfen nicht verarbeitet werden : Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer …

Welche Daten dürfen nicht an Dritte weitergegeben werden

Hierzu zählen sensible Informationen wie Gesundheitsdaten, biometrische Merkmale, genetische Details sowie politische und religiöse Ansichten. Ein unvorsichtiger Umgang kann hier nicht nur die Privatsphäre bedrohen, sondern auch tiefe seelische und gesellschaftliche Wunden hinterlassen.

Jeder Verantwortliche muss die Einhaltung der im Artikel 5 DSGVO aufgeführten Rechtsgrundsätze (Rechtmäßigkeit der Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht) gewährleisten.Der Grundsatz der Richtigkeit von Daten sagt aus, dass personenbezogene Daten bei der Verarbeitung durch Dritte immer sachlich richtig und auf dem neuesten Stand sein müssen. Ist das nicht der Fall, sind sie zu korrigieren bzw. zu löschen.

Wie muss ein Datenschutzkonzept aussehen : Aufbau und Gliederung eines Datenschutzkonzeptes

Beschreibung der personenbezogenen Daten und Angabe der jeweiligen Zweckbindung (Nutzungszweck) Angaben zur verantwortlichen Stelle. Beschreibung der Gewährleistung von Betroffenenrechten. Beschreibung der technischen und organisatorischen Maßnahmen zum Datenschutz.