Ist eine DSFA fuer mein KMU vorgeschrieben?

Wahrscheinlich nicht fuer Ihre Standardverarbeitungen (Kundenverwaltung, Personalverwaltung, Buchhaltung). Eine DSFA wird bei Hochrisiko-Verarbeitungen Pflicht, wie grossangelegtem Profiling, systematischer Ueberwachung oder grossangelegter Verarbeitung besonderer Datenkategorien.

Was passiert, wenn ich keine DSFA durchfuehre, obwohl sie vorgeschrieben ist?

Die Aufsichtsbehoerde kann ein Bussgeld verhaengen. In der Praxis ist es auch ein Risiko fuer Ihre Organisation: Ohne DSFA haben Sie die Risiken nicht erfasst und treffen moeglicherweise unzureichende Massnahmen.

Kann ich eine DSFA selbst durchfuehren?

Ja, die DSGVO schreibt kein bestimmtes Format vor. Sie koennen eine DSFA selbst mit einer Vorlage durchfuehren. Bei komplexen Verarbeitungen ist es jedoch ratsam, einen Datenschutzspezialisten hinzuzuziehen.

Wie lange dauert eine DSFA?

Das haengt von der Komplexitaet der Verarbeitung ab. Eine einfache DSFA fuer eine einzelne Verarbeitung kann in wenigen Stunden abgeschlossen werden. Bei komplexen Systemen kann es Wochen dauern.

DSFA Datenschutz-Folgenabschaetzung - Wann ist sie Pflicht?

Eine DSFA (Datenschutz-Folgenabschaetzung) ist nur bei Verarbeitungen mit hohem Risiko vorgeschrieben. Dieser Artikel erklaert, wann Sie eine brauchen, wann nicht, und wie Sie sie durchfuehren.

Was ist eine DSFA?

Eine DSFA (Datenschutz-Folgenabschaetzung), im Englischen “Data Protection Impact Assessment” (DPIA) genannt, ist eine Bewertung der Risiken, die eine bestimmte Verarbeitung personenbezogener Daten fuer die betroffenen Personen mit sich bringt. Die DSGVO schreibt dies in Artikel 35 fuer Verarbeitungen vor, die ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher Personen darstellen.

Einfach gesagt: Sie pruefen vorab, ob eine Verarbeitung Probleme fuer die Personen verursachen kann, deren Daten Sie verarbeiten, und was Sie tun, um diese Risiken zu mindern.

Wann ist eine DSFA Pflicht?

Die DSGVO nennt drei Situationen, in denen eine DSFA immer erforderlich ist:

1. Systematisches und umfassendes Profiling mit erheblichen Auswirkungen Beispiele: Eine Bank, die automatisch ueber Kreditantraege auf Basis von Profildaten entscheidet, oder ein Versicherer, der Praemien auf Grundlage umfassender Verhaltensanalysen berechnet.

2. Umfangreiche Verarbeitung besonderer Datenkategorien Besondere Kategorien umfassen unter anderem Gesundheitsdaten, biometrische Daten, Daten ueber Rasse oder Religion und strafrechtliche Daten. Ein Krankenhaus, das Patientenakten verwaltet, faellt darunter. Ein KMU, das zufaellig weiss, dass ein Mitarbeiter Diabetiker ist, nicht.

3. Grossflaechige, systematische Ueberwachung oeffentlich zugaenglicher Bereiche Das klassische Beispiel ist ein umfangreiches Videoueberwachungssystem in einem Einkaufszentrum oder Stadtzentrum.

Darueber hinaus veroeffentlichen die Aufsichtsbehoerden Listen mit Verarbeitungen, fuer die eine DSFA vorgeschrieben ist. Diese umfassen typischerweise:

Einsatz biometrischer Daten zur Identifikation
Zusammenfuehrung von Datenbanken aus verschiedenen Quellen
Systematische Ueberwachung von Arbeitnehmern
Grossangelegte Verarbeitung von Daten schutzbeduerftiger Personen (Kinder, Aeltere, Patienten)

Wann brauchen Sie KEINE DSFA?

Die meisten KMU fuehren Standardverarbeitungen durch, die kein hohes Risiko darstellen. Einige Beispiele:

Kundenverwaltung in einem CRM - Sie speichern Kontaktdaten und Bestellhistorie. Keine besonderen Kategorien, kein Profiling. Keine DSFA noetig.
Personalverwaltung - Name, Adresse, Gehaltsdaten, Vertraege. Standardverarbeitung. Keine DSFA noetig.
Newsletter-Versand - E-Mail-Adressen mit Einwilligung. Keine DSFA noetig.
Buchhaltung und Rechnungsstellung - Rechnungsdaten von Kunden und Lieferanten. Keine DSFA noetig.
Einige Sicherheitskameras auf Ihrem Betriebsgelaende, solange es nicht grossflaechig und systematisch ist. Meist keine DSFA noetig (bei groesseren Installationen aber schon, siehe unseren Leitfaden zur Videoueberwachung).

Die Faustregel: Wenn Sie Daten auf eine Weise verarbeiten, die vergleichbar mit dem ist, was Tausende anderer KMU auch tun, ist eine DSFA wahrscheinlich nicht erforderlich.

Wie fuehren Sie eine DSFA durch?

Wenn Sie eine DSFA durchfuehren muessen, folgen Sie diesen Schritten:

Schritt 1: Verarbeitung beschreiben

Dokumentieren Sie:

Welche personenbezogenen Daten Sie verarbeiten
Den Zweck
Die Rechtsgrundlage (z. B. berechtigtes Interesse, Einwilligung)
Wer Zugang hat
Wie lange Sie die Daten aufbewahren
Welche Technologie Sie verwenden

Schritt 2: Notwendigkeit und Verhaeltnismaessigkeit beurteilen

Stellen Sie sich diese Fragen:

Ist diese Verarbeitung wirklich fuer den Zweck erforderlich?
Kann ich den Zweck mit weniger Daten oder einer weniger eingreifenden Methode erreichen?
Ist die Aufbewahrungsfrist nicht laenger als noetig?

Schritt 3: Risiken identifizieren

Betrachten Sie die Risiken aus der Perspektive der betroffenen Person, nicht Ihrer Organisation. Bedenken Sie:

Was passiert, wenn die Daten durchsickern? Wie schlimm ist das fuer die betroffene Person?
Was passiert, wenn die Daten ungenau sind? Welche Folgen hat das?
Haben Betroffene ausreichend Kontrolle ueber ihre Daten?

Schritt 4: Massnahmen festlegen

Fuer jedes Risiko legen Sie fest, welche Massnahmen Sie zu seiner Minderung ergreifen:

Technische Massnahmen (Verschluesselung, Zugangskontrolle, Pseudonymisierung)
Organisatorische Massnahmen (Schulungen, Verfahren, Vertraege)
Einschraenkungen der Verarbeitung selbst (weniger Daten, kuerzere Aufbewahrungsfrist)

Schritt 5: Dokumentieren und pflegen

Halten Sie alles in einem Dokument fest. Eine DSFA ist keine einmalige Uebung; Sie muessen sie aktualisieren, wenn sich die Verarbeitung aendert, neue Risiken entstehen oder sich die Technologie aendert.

Praktische Tipps fuer KMU

Pruefen Sie die Liste der Aufsichtsbehoerde - schauen Sie, ob Ihre Verarbeitungen auf der DSFA-Pflichtliste stehen
Beginnen Sie mit Ihrem Verarbeitungsverzeichnis - wenn das in Ordnung ist, koennen Sie schnell erkennen, welche Verarbeitungen moeglicherweise eine DSFA erfordern
Verwenden Sie eine Vorlage - Sie muessen das Rad nicht neu erfinden. Die Aufsichtsbehoerden stellen Vorlagen bereit
Holen Sie im Zweifelsfall Rat ein - wenn Sie nicht sicher sind, ob Sie eine DSFA brauchen, ist es klueger, eine durchzufuehren, als es zu ignorieren

auto_awesome Wissen Sie, ob Sie eine DSFA brauchen?

GDPRWise analysiert Ihre Verarbeitungstaetigkeiten und gibt Ihnen eine klare Antwort: DSFA noetig oder nicht. Und wenn ja, helfen wir Ihnen beim Start.

Kostenlosen Scan starten