DSFA-Muss-Liste: Wann Sie eine Datenschutz-Folgen­abschätzung durchführen müssen

Die rechtliche Grundlage für Datenschutz-Folgenabschätzungen bildet Art. 35 DSGVO. In den Absätzen 4 und 5 hat der Gesetzgeber festgehalten, dass die Aufsichtsbehörden eine DSFA-Muss-Liste sowie eine DSFA-Muss-Nicht-Liste erstellen müssen bzw. können. Die erste Liste enthält Verarbeitungstätigkeiten (VT), die in jedem Fall eine Datenschutz-Folgenabschätzung voraussetzen. Die zweite wiederum listet VT, für die eine DSFA von vornherein nicht nötig ist. Im föderalen Deutschland schlägt sich das in den unterschiedlichen DSFA-Listen der 16 Bundesländer nieder.

Während die Behörden bislang von Muss-Nicht-Listen Abstand genommen haben, haben zahlreiche Bundesländer eigene Vorgabenkataloge entwickelt, die Ihnen sagen, bei welchen Verarbeitungstätigkeiten Sie eine DSFA durchführen müssen. Einzelne Bundesländer haben dabei entweder eine eigene Liste erstellt oder auf jene der DSK (Datenschutzkonferenz) verwiesen. Die Durchsicht all dieser Dokumente kann in der Praxis mühsam ausfallen. Daher haben wir alle Vorgaben in einem einzigen Verzeichnis zusammengestellt, in dem Sie auf einen Blick erkennen, in welchem Bundesland, welche VT eine DSFA erfordert. Diesen Katalog können Sie sich hier herunterladen, um ihn jederzeit zur Verfügung zu haben. Beachten Sie aber, dass diese Liste nur für Deutschland gilt und im Ausland andere Vorgaben gelten können.

Um herauszufinden, ob Sie für eine Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung erstellen müssen, sind zwei Prüfschritte nötig:

Zunächst müssen Sie abgleichen, ob die VT in der DSFA-Muss-Liste Ihres Bundeslandes enthalten ist. Dabei hilft Ihnen beispielsweise die Übersicht in der caralegal-Software oder Sie nutzen die DSFA-Liste, die Ihnen hier zum Download bereitsteht.

Ergibt Ihr Abgleich, dass die fragliche VT nicht in der DSFA-Liste inkludiert ist, sind Sie von der Durchführung einer Datenschutz-Folgenabschätzung jedoch noch nicht befreit: Bevor Sie Klarheit haben, müssen Sie noch eine Schwellwertanalyse durchführen und dabei neun Fragen beantworten. Diese neun Punkte haben wir Ihnen in unserem Guide zur Schwellwertanalyse detailliert zusammengestellt: Link zur Schwellwertanalyse-Anleitung

Mit unserer Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, klären Sie die Frage Ihrer Pflicht zur DSFA bezüglich einer einzelnen Verarbeitungstätigkeit – so setzen Sie die Vorgaben der DSGVO in Ihrer Arbeit verlässlich um.

Laden Sie sich jetzt gleich unsere praktische DSFA-Liste herunter, damit Sie sich immer sicher sein können, welche Vorgaben in Ihrem Bundesland gelten. Die Liste ist auch Teil unserer Datenschutzmanagement-Software, mit der Sie stets auf dem neuesten rechtlichen Stand sind und den Datenschutz optimal in Ihre Prozesse integrieren können.

Treten Sie unserer Community bei. Abonnieren Sie unseren Newsletter und bleiben Sie immer auf dem Laufenden!

Björn Möller

Co-Founder & CEO von caralegal

Björn Möller ist gelernter Wirtschaftsinformatiker und hat umfangreiche Erfahrung in der Entwicklung digitaler Produkte. Er hat an der Stanford University selbst an dem Einsatz Künstlicher Intelligenz gearbeitet. Er ist Geschäftsführer der caralegal GmbH, die Unternehmen neue Wege in der KI- und datenrechtlichen Compliance ermöglicht.