Die DSFA ist ein zentrales Instrument der DSGVO zur Risikobeurteilung bei Verarbeitungen, die voraußichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen.
Wann ist eine DSFA erforderlich? Art. 35 Abs. 3 DSGVO nennt drei Regelbeispiele: (a) systematisches Profiling mit Rechtswirkung, (b) umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9) oder strafrechtlicher Daten (Art. 10), (c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Die Aufsichtsbehörden veröffentlichen Positiv-Listen mit DSFA-pflichtigen Verarbeitungen.
Mindestinhalt (Art. 35 Abs. 7 DSGVO):
- Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Risikobewertung für Rechte und Freiheiten der Betroffenen
- Geplante Abhilfemassnahmen
16-Schritte-Prozess (DSK-Kurzpapier Nr. 5): Team zusammenstellen, Prüfplanung, Scope festlegen, Akteure identifizieren, Notwendigkeit bewerten, Rechtsgrundlagen prüfen, Risikoquellen modellieren, Risikobeurteilung durchführen, Abhilfemassnahmen auswählen, Bericht erstellen, Maßnahmen umsetzen, Wirksamkeit testen, Dokumentation, Freigabe, Überprüfung und Audit, Fortschreibung.
Iterativer Prozess: Eine DSFA ist kein einmaliger Vorgang. Sie muss fortlaufend überprüft und angepasst werden. Auch bestehende Verarbeitungen können unter die DSFA-Pflicht fallen.
Konsultation: Bei hohem Restrisiko trotz Maßnahmen ist die Aufsichtsbehörde zu konsultieren (Art. 36 DSGVO). Frist der Behörde: 8 Wochen (verlängerbar um 6 Wochen).
Dokumentation: Die Entscheidung über Durchführung oder Nichtdurchführung einer DSFA muss schriftlich mit Begründung dokumentiert werden - auch bei negativem Ergebnis. Dies ist Teil der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO).