DSFA-Muss-Liste: Wann du eine Datenschutz-Folgen­abschätzung durchführen musst

Die rechtliche Grundlage für Datenschutz-Folgenabschätzungen bildet Art. 35 DSGVO. In den Absätzen 4 und 5 hat der Gesetzgeber festgehalten, dass die Aufsichtsbehörden eine DSFA-Muss-Liste sowie eine DSFA-Muss-Nicht-Liste erstellen müssen bzw. können. Die erste Liste enthält Verarbeitungstätigkeiten (VT), die in jedem Fall eine Datenschutz-Folgenabschätzung voraussetzen. Die zweite wiederum listet VT, für die eine DSFA von vornherein nicht nötig ist. Im föderalen Deutschland schlägt sich das in den unterschiedlichen DSFA-Listen der 16 Bundesländer nieder.

Während die Behörden bislang von Muss-Nicht-Listen Abstand genommen haben, haben zahlreiche Bundesländer eigene Vorgabenkataloge entwickelt, die dir sagen, bei welchen Verarbeitungstätigkeiten du eine DSFA durchführen musst. Einzelne Bundesländer haben dabei entweder eine eigene Liste erstellt oder auf jene der DSK (Datenschutzkonferenz) verwiesen. Die Durchsicht all dieser Dokumente kann in der Praxis mühsam ausfallen. Daher haben wir alle Vorgaben in einem einzigen Verzeichnis zusammengestellt, in dem du auf einen Blick erkennst, in welchem Bundesland welche VT eine DSFA erfordert. Diesen Katalog kannst du dir hier herunterladen, um ihn jederzeit zur Verfügung zu haben. Beachte aber, dass diese Liste nur für Deutschland gilt und im Ausland andere Vorgaben gelten können.

Um herauszufinden, ob du für eine Verarbeitungstätigkeit eine Datenschutz-Folgenabschätzung erstellen musst, sind zwei Prüfschritte nötig:

Zunächst musst du abgleichen, ob die VT in der DSFA-Muss-Liste deines Bundeslandes enthalten ist. Dabei hilft dir beispielsweise die Übersicht in der caralegal-Software oder du nutzt die DSFA-Liste, die dir hier zum Download bereitsteht.

Ergibt dein Abgleich, dass die fragliche VT nicht in der DSFA-Liste inkludiert ist, bist du von der Durchführung einer Datenschutz-Folgenabschätzung jedoch noch nicht befreit: Bevor du Klarheit hast, musst du noch eine Schwellwertanalyse durchführen und dabei neun Fragen beantworten. Diese neun Punkte haben wir dir in unserem Guide zur Schwellwertanalyse detailliert zusammengestellt: Link zur Schwellwertanalyse-Anleitung

Mit unserer Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, klärst du die Frage deiner Pflicht zur DSFA bezüglich einer einzelnen Verarbeitungstätigkeit – so setzt du die Vorgaben der DSGVO in deiner Arbeit verlässlich um.

Lade dir jetzt gleich unsere praktische DSFA-Liste herunter, damit du dir immer sicher sein kannst, welche Vorgaben in deinem Bundesland gelten. Die Liste ist auch Teil unserer Datenschutzmanagement-Software, mit der du stets auf dem neuesten rechtlichen Stand bist und den Datenschutz optimal in deine Prozesse integrieren kannst.

Treten Sie unserer Community bei. Abonnieren Sie unseren Newsletter und bleiben Sie immer auf dem Laufenden!

Björn Möller

Co-Founder & CEO von caralegal

Björn Möller ist gelernter Wirtschaftsinformatiker und hat umfangreiche Erfahrung in der Entwicklung digitaler Produkte. Er hat an der Stanford University selbst an dem Einsatz Künstlicher Intelligenz gearbeitet. Er ist Geschäftsführer der caralegal GmbH, die Unternehmen neue Wege in der KI- und datenrechtlichen Compliance ermöglicht.