Art. 35 DSGVO
Datenschutz-Folgenabschätzung (DSFA) nach Art. 35
Bei Verarbeitungen mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen verlangt Art. 35 DSGVO vor Beginn eine Datenschutz-Folgenabschätzung. Sie ist kein Formular am Ende, sondern eine vorgelagerte Risikoanalyse mit Maßnahmen. MGMSYS führt von der Schwellwertprüfung über die Risikobewertung bis zur etwaigen Konsultation der Aufsichtsbehörde.
Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.
Wann nötig
Schwellwertprüfung: Brauchen wir überhaupt eine DSFA?
Nicht jede Verarbeitung braucht eine DSFA. Erforderlich ist sie bei voraussichtlich hohem Risiko – konkretisiert durch die Regelbeispiele in Art. 35 Abs. 3 und die Muss-Listen (Blacklists) der Aufsichtsbehörden.
Profiling & Scoring
Systematische und umfassende Bewertung persönlicher Aspekte mit automatisierten Entscheidungen, die Rechtswirkung entfalten.
Besondere Kategorien
Umfangreiche Verarbeitung von Gesundheits-, Biometrie- oder anderen besonderen Datenkategorien nach Art. 9.
Systematische Überwachung
Großflächige systematische Überwachung öffentlich zugänglicher Bereiche, etwa Videoüberwachung.
Neue Technologien
Einsatz neuer Technologien wie KI-gestützter Auswertung mit unklarem Risikoprofil.
Blacklist der Behörde
Verarbeitungen auf der Muss-Liste der zuständigen Aufsichtsbehörde lösen die DSFA-Pflicht unmittelbar aus.
Mehrere Kriterien kombiniert
Treffen mehrere Risikokriterien zusammen, ist eine DSFA in der Regel durchzuführen.
MGMSYS führt die Schwellwertprüfung als geführten Vorab-Check je Verarbeitung – mit dokumentierter Begründung, falls keine DSFA nötig ist. Auch das „Nein“ gehört zur Rechenschaftspflicht.
Ablauf
Die DSFA in vier Schritten
Art. 35 Abs. 7 gibt den Mindestinhalt vor. MGMSYS führt diese Schritte als geführten Prozess, sodass kein Pflichtbestandteil fehlt.
1. Systematische Beschreibung
Beschreibung der geplanten Verarbeitung, ihrer Zwecke und – sofern einschlägig – des berechtigten Interesses. MGMSYS übernimmt Stammdaten direkt aus dem Verarbeitungsverzeichnis.
2. Notwendigkeit & Verhältnismäßigkeit
Bewertung, ob die Verarbeitung zur Zweckerreichung erforderlich und verhältnismäßig ist – inklusive Prüfung milderer Mittel und Datenminimierung.
3. Risikobewertung
Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen nach Eintrittswahrscheinlichkeit und Schwere – als nachvollziehbare Risikomatrix.
4. Abhilfemaßnahmen
Festlegung der Maßnahmen, Garantien und Sicherheitsvorkehrungen zur Risikoreduktion – verknüpft mit dem TOM-Katalog und mit Umsetzungsnachweis.
Restrisiko
Konsultation der Aufsichtsbehörde nach Art. 36
Bleibt nach allen Maßnahmen ein hohes Restrisiko bestehen, ist vor Verarbeitungsbeginn die Aufsichtsbehörde zu konsultieren. Diese Schwelle muss bewusst entschieden und dokumentiert werden.
Restrisiko bewerten
Nach Festlegung der Abhilfemaßnahmen wird das verbleibende Risiko erneut bewertet. Bleibt es hoch, greift die Konsultationspflicht nach Art. 36.
Konsultation vorbereiten
MGMSYS hält die für die Vorabkonsultation nötigen Angaben gebündelt – Verantwortlichkeiten, Zwecke, Maßnahmen, Risikobewertung und Sicht des DSB.
Einbindung des DSB
Der Datenschutzbeauftragte ist nach Art. 35 Abs. 2 bei der DSFA zu Rate zu ziehen; seine Stellungnahme wird im Vorgang festgehalten.
Die DSFA ist eng mit VVT, TOM und Meldeprozessen verzahnt – wie alle Pflichten in einem Datenschutz-Managementsystem zusammenspielen, zeigt die DSGVO-Überblicksseite.
Häufige Fragen
- Wann genau ist eine DSFA verpflichtend?
Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Konkretisiert wird das durch die Regelbeispiele in Art. 35 Abs. 3 und die Muss-Listen der Aufsichtsbehörden – etwa bei Profiling, besonderen Datenkategorien oder systematischer Überwachung.
- Muss ich die Entscheidung gegen eine DSFA dokumentieren?
Ja. Auch das Ergebnis der Schwellwertprüfung gehört zur Rechenschaftspflicht. Kommt sie zu dem Schluss, dass keine DSFA nötig ist, sollte diese Begründung festgehalten werden – MGMSYS dokumentiert sie je Verarbeitung.
- Was passiert, wenn ein hohes Restrisiko bestehen bleibt?
Dann ist nach Art. 36 vor Verarbeitungsbeginn die Aufsichtsbehörde zu konsultieren. MGMSYS markiert diesen Fall im DSFA-Vorgang und bündelt die für die Vorabkonsultation erforderlichen Angaben.
- Muss eine DSFA aktualisiert werden?
Ja. Ändern sich Risiko, Zweck oder Maßnahmen einer Verarbeitung, ist die DSFA zu überprüfen. MGMSYS führt Review-Termine und Versionen, sodass jede Fortschreibung nachvollziehbar bleibt.
Von der Schwellwertprüfung bis zur Konsultation
Geführte DSFA mit Schwellenanalyse, Risikomatrix, Maßnahmen aus dem TOM-Katalog und Vorbereitung der Vorabkonsultation – nachvollziehbar dokumentiert. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.