Die Datenschutz-Folgenabschätzung (DSFA) ist Pflicht, sobald eine Verarbeitung „voraussichtlich ein hohes Risiko“ für die Rechte betroffener Personen nach sich zieht. In der Praxis wird sie selten richtig durchgeführt — meist, weil Vorlagen fehlen oder unbrauchbar sind.
Wann Pflicht?
- Systematische und umfangreiche Bewertung persönlicher Aspekte (z. B. Scoring)
- Großflächige Verarbeitung sensibler Daten (Gesundheit, Finanzen)
- Systematische Überwachung öffentlich zugänglicher Bereiche
Workflow in 8 Schritten
- Verarbeitungs-Beschreibung
- Notwendigkeits- und Verhältnismäßigkeits-Prüfung
- Risiken für Betroffene identifizieren
- Risiken bewerten (Eintrittswahrscheinlichkeit × Schwere)
- Maßnahmen zur Risiko-Reduktion
- Restrisiko bewerten
- Aufsichtsbehörden-Konsultation falls Restrisiko hoch
- Dokumentation für die jährliche Pflege
Vorlagen im Download
- DSFA-Hauptdokument als DOCX
- Risiko-Matrix als Excel
- Beispiel: DSFA für ein Awareness-Programm
- Beispiel: DSFA für ein Cloud-CRM
Praxis-Hinweis
Die DSFA ist kein Einmal-Dokument. Sie wird jährlich oder bei wesentlichen Änderungen aktualisiert — sonst verliert sie ihren Wert im Audit.