Viele Unternehmen sind unsicher, wann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist. Dabei ist die Rechtslage klarer als oft angenommen. Wir zeigen, in welchen Fällen Sie nicht um eine DSFA herumkommen.
Eine DSFA ist nach Art. 35 DSGVO verpflichtend, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Datenschutzkonferenz (DSK) hat eine „Muss-Liste“ veröffentlicht, die konkrete Verarbeitungsvorgänge benennt. Dazu gehören: umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten), systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung) und automatisierte Entscheidungen mit Rechtswirkung (z.B. Scoring, Profiling).
Typische Fälle aus der Praxis: Einführung einer HR-Software mit umfangreicher Mitarbeiterdatenverarbeitung, Einsatz von KI-gestützten Bewerbermanagementsystemen, Videoüberwachung mit biometrischer Gesichtserkennung oder umfangreiches Tracking von Nutzerverhalten auf Websites. Die DSFA muss vor Beginn der Verarbeitung durchgeführt werden und die Risiken sowie geplante Schutzmaßnahmen dokumentieren.
Wichtig: Bei Unsicherheit gilt die Faustregel – lieber eine DSFA zu viel als eine zu wenig. Die Nichtdurchführung einer erforderlichen DSFA kann zu Bußgeldern führen und gilt als Verstoß gegen die Rechenschaftspflicht.
Fazit
Die DSFA ist kein bürokratisches Übel, sondern ein wirksames Instrument zur Risikominimierung. Wer unsicher ist, ob eine DSFA erforderlich ist, sollte die Muss-Liste der DSK konsultieren oder im Zweifelsfall eine durchführen. Die Dokumentation schützt nicht nur Betroffene, sondern auch das Unternehmen bei Kontrollen.
Top 5 Empfehlungen:
1. Muss-Liste der DSK prüfen: Gleiche deine Verarbeitungsvorgänge mit der offiziellen Liste der Datenschutzkonferenz ab.
2. DSFA vor Verarbeitungsbeginn durchführen: Die Folgenabschätzung muss abgeschlossen sein, bevor du mit der Datenverarbeitung startest.
3. Risiken dokumentieren: Beschreibe konkret, welche Risiken für Betroffene bestehen und wie du diese minimierst.
4. Datenschutzbeauftragten einbeziehen: Hole den DSB frühzeitig in den Prozess ein – seine Stellungnahme ist Pflicht.
5. Regelmäßig aktualisieren: Bei wesentlichen Änderungen der Verarbeitung muss die DSFA überarbeitet werden.