Liebe Leserinnen und Leser,
ist Ihnen der Begriff „Datenschutzfolgenabschätzung (DSFA)“ schon begegnet? Wir erklären, was es damit auf sich hat und warum Unternehmen gut daran tun, sich mit dem Thema zu beschäftigen.
Eine Datenschutzfolgenabschätzung (DSFA) ist im Grunde ein systematischer Prozess, mit dem Sie vorab bewerten, welche Risiken bei einer geplanten Datenverarbeitung für die Personen entstehen könnten, deren Daten Sie verarbeiten. Stellen Sie sich die DSFA als eine Art Sicherheitscheck vor: Sie analysieren, welche Risiken durch die Verarbeitung bestehen, und legen präventive Maßnahmen fest, um Probleme zu vermeiden, bevor sie entstehen.
Wichtig zu wissen: Die DSFA ist auch eine grundlegende Prüfung, ob Ihre geplante Datenverarbeitung überhaupt rechtmäßig ist. Noch bevor Sie über technische Details nachdenken, hilft Ihnen die DSFA festzustellen, ob Sie für Ihre Verarbeitung eine rechtliche Grundlage haben und ob diese dem Grundsatz der Verhältnismäßigkeit entspricht. So vermeiden Sie von vornherein Projekte, die datenschutzrechtlich nicht umsetzbar wären.
Anders als viele andere Datenschutzdokumente ist die DSFA kein statisches Formular, sondern ein aktiver Prozess, der Ihnen hilft, datenschutzfreundliche Entscheidungen zu treffen und diese auch zu dokumentieren.
“Muss das wirklich sein?” – Warum Sie sich für Datenschutzfolgenabschätzungen interessieren sollten
Hand aufs Herz: Wenn Sie “Datenschutzfolgenabschätzung” hören, denken Sie wahrscheinlich an Papierkram und Bürokratie. Aber stellen Sie sich vor, Sie installieren eine neue Überwachungskamera am Empfang. Klingt erstmal harmlos und sinnvoll, schließlich wollen Sie Ihre Beschäftigten und Ihr Eigentum schützen. Oder?
In Wahrheit greifen Sie damit direkt in die Persönlichkeitsrechte Ihrer Besucher und Beschäftigten ein – und hier kommt die DSFA ins Spiel. Sie ist weniger lästige Pflichtübung als vielmehr Ihr persönlicher Schutzschild gegen:
- Beschwerden und Bußgelder
- peinlichen Reputationsverlust
- unangenehme Gespräche mit der Aufsichtsbehörde und den damit verbundenen Aufwand
Warum der Gesetzgeber nicht einfach Ruhe gibt
Mit der DSGVO hat der EU-Gesetzgeber 2018 einen cleveren Ansatz eingeführt: Probleme verhindern, statt sie später mühsam zu reparieren. Artikel 35 macht die DSFA für risikoreiche Datenverarbeitungen zur Pflicht – nicht um Sie zu ärgern, sondern um Menschen effektiv vor Eingriffen in ihre Privatsphäre zu schützen.
Wann müssen Sie wirklich eine DSFA durchführen?
Gute Nachricht: Nicht für jede Exceltabelle, Software oder Datenbank brauchen Sie eine DSFA. Sie wird nur dann zur Pflicht, wenn durch Ihre Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entstehen könnte. Typische Auslöser sind:
- Videoüberwachung öffentlich zugänglicher Bereiche, wenn also beispielsweise die Videokamera den Parkplatz eines Krankenhauses überwacht
- Verarbeitung von Gesundheits- oder biometrischen Daten
- Automatisierte Entscheidungsfindung, z.B. im Rahmen der Bewerberauswahl
- Einsatz neuer (KI)-Technologien
Planen Sie etwa eine Gesichtserkennung für Ihren Eingangsbereich oder eine Zeiterfassung mit Fingerprint? Dann führt kein Weg an einer DSFA vorbei. Denn letztlich geht es beim Datenschutz nicht um Aktenordner und Server, sondern um echte Menschen und deren Privatsphäre.
Eine vollständige Liste finden Sie im Leitfaden der Bundesbeauftragten für den Datenschutz: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Muster/Liste_VerarbeitungsvorgaengeDSK.pdf?__blob=publicationFile&v=7
Aus der Praxis: DSFA für Videoüberwachung leicht gemacht
Nehmen wir an, Sie wollen Kameras installieren, die Ihren öffentlich zugänglichen Parkplatz überwachen. So würden Sie vorgehen:
- Dokumentation: Wo hängen die Kameras? Welche Bereiche erfassen sie? Wie lange werden Aufnahmen gespeichert?
- Verhältnismäßigkeit prüfen: Steht der Schutz des Werksgeländes im angemessenen Verhältnis zum Eingriff? Vielleicht reicht eine Alarmanlage zur Abschreckung?
- Betroffene identifizieren: Wer wird überwacht? Beschäftigte, Lieferanten, Gäste?
- Risiken für die betroffenen Personen bewerten: Welche konkreten Nachteile könnten den überwachten Personen entstehen? Das Spektrum reicht von unangenehmen Gefühlen (ständig beobachtet zu werden) über potenzielle Diskriminierung (z.B., wenn bestimmte Personengruppen besonders kontrolliert werden) bis hin zu schwerwiegender Rufschädigung (falls Aufnahmen unbefugt veröffentlicht würden).
- Gegenmaßnahmen entwickeln: Technisch (verschlüsselte Speicherung, automatische Löschung nach 72 Stunden, strenge Zugriffskontrollen) und organisatorisch (deutliche Hinweisschilder, Schulungen, klare Verantwortlichkeiten).
- Dokumentieren und den Datenschutzbeauftragten einbinden: Alle Schritte im DSFA-Bericht zusammenfassen und den Datenschutzbeauftragten einbeziehen.
Wann sollten bei Ihnen die DSFA-Alarmglocken läuten?
Ob Kameras, biometrische Zutrittskontrollen oder der neue KI-gestützte Bewerbungsprozess – innovative oder datenintensive Verfahren lösen fast immer eine Prüfungspflicht aus. Denken Sie immer daran: Beim Datenschutz geht es nicht um Bits und Bytes, sondern um den Schutz von Menschen vor unerwünschten Eingriffen in ihre Privatsphäre.
Keine Lust auf Alleingänge? Wir stehen Ihnen zur Seite!
Sie haben genug eigene Themen und möchten die DSFA lieber mit Profis angehen? Wir unterstützen Sie pragmatisch und ohne Fachchinesisch:
- Praxisnahe Workshops: Damit Ihr Team DSFAs selbständig durchführen kann
- Moderation & Dokumentation: Wir begleiten Ihren Prozess und erstellen verständliche Berichte
- Review & Optimierung: Unsere Experten prüfen Ihre Unterlagen und zeigen Verbesserungspotenziale auf
Herzlichen Dank fürs Lesen
Ihr Dapro Serv-Team
Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an.
Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.
Herzlichen Dank, dass Sie unseren Newsletter lesen.
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!
