Die DSFA ist ein systematisches Instrument zur Risikoanalyse und -minimierung bei Verarbeitungen mit voraußichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen.
Wann ist eine DSFA erforderlich?
Grundregel: Immer wenn eine Verarbeitung voraußichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt (Art. 35 Abs. 1 DSGVO).
Insbesondere bei (Art. 35 Abs. 3):
- Systematischem und umfangreichem Profiling mit Rechtswirkung (z.B. Scoring, automatisierte Kreditentscheidungen)
- Umfangreicher Verarbeitung besonderer Datenkategorien (z.B. Gesundheitsdaten in Krankenhäusern)
- Systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche (z.B. Videoueberwachung)
Zusätzlich: Die Aufsichtsbehörden veröffentlichen Listen ("Blacklists") mit Verarbeitungstätigkeiten, die eine DSFA erfordern (Art. 35 Abs. 4 DSGVO).
Ausnahme: Ein einzelner Arzt oder Rechtsanwalt führt regelmäßig keine "umfangreiche" Verarbeitung durch (EG 91 DSGVO).
Pflichtinhalt (Art. 35 Abs. 7)
- Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen
- Geplante Abhilfemassnahmen und Schutzvorkehrungen
Wichtige Praxisregeln
- Die Entscheidung für oder gegen eine DSFA muss SCHRIFTLICH begründet werden - auch wenn keine DSFA durchgeführt wird (DSK-Kurzpapier Nr. 5).
- Der Datenschutzbeauftragte ist einzubeziehen (Art. 35 Abs. 2 DSGVO).
- Die DSFA ist kein einmaliger Vorgang, sondern ein iterativer Prozess mit regelmäßiger Überprüfung.
- Bei hohem Restrisiko trotz Maßnahmen: vorherige Konsultation der Aufsichtsbehörde (Art. 36 DSGVO).