DSFA Datenschutz-Folgenabschätzung: Leitfaden
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und Leon) für ganz Spanien.
Unabhängige Beratung in Marketing, Compliance (ISO, ENS, DSGVO), Digitalisierung und B2B-Vertrieb aus Aranda de Duero (Kastilien und León) für ganz Spanien.
Die DSFA (Datenschutz-Folgenabschätzung) ist verpflichtend, wenn die Verarbeitung ein hohes Risiko für den Betroffenen darstellt (Art. 35 DSGVO).
Die Datenschutz-Folgenabschätzung (DSFA, im Englischen DPIA, im spanischen Recht EIPD) ist das Instrument der DSGVO, um Risiken zu bewerten, die eine personenbezogene Datenverarbeitung für die Rechte und Freiheiten der Betroffenen darstellen kann, und um die zur Risikominderung erforderlichen Maßnahmen zu bestimmen. Sie ist nicht für alle Verarbeitungen erforderlich, doch wo sie es ist, kann ihr Fehlen erhebliche Sanktionen nach sich ziehen. Dieser Leitfaden erklärt Ihnen, wann sie durchzuführen ist und wie das praktisch erfolgt.
Wann ist die DSFA verpflichtend?
Artikel 35 der DSGVO legt fest, dass die DSFA verpflichtend ist, wenn eine Verarbeitung - insbesondere unter Einsatz neuer Technologien - ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Die Verordnung nennt drei spezifische Fälle: die systematische und umfassende Bewertung persönlicher Aspekte basierend auf automatisierter Verarbeitung (etwa Profiling oder automatisierte Entscheidungen mit rechtlichen oder erheblichen Wirkungen), die umfangreiche Verarbeitung besonderer Datenkategorien (Gesundheit, biometrische, genetische Daten, ethnische Herkunft, sexuelle Orientierung) oder Daten zu strafrechtlichen Verurteilungen und Straftaten, und die systematische umfangreiche Beobachtung eines öffentlich zugänglichen Bereichs (Massenvideoüberwachung).
Zusätzlich zu diesen drei Fällen hat die AEPD eine Liste von Verarbeitungstypen veröffentlicht, die in Spanien eine DSFA erfordern. Diese umfasst Verarbeitungen mit Profiling oder Bewertung von Personen, automatisierte Entscheidungen mit rechtlichen Wirkungen, systematische Beobachtung oder Ueberwachung, umfangreiche Verarbeitung besonderer Datenkategorien, Verknüpfung von Datensätzen aus verschiedenen Quellen, Verarbeitung von Daten schutzbedürftiger Personen (Minderjährige, Personen mit Behinderung, Beschäftigte), Einsatz neuer Technologien oder innovativer Nutzung bestehender Technologien und Verarbeitungen, die Betroffene an der Wahrnehmung eines Rechts oder am Zugang zu einer Dienstleistung hindern.
Faustregel: erfüllt Ihre Verarbeitung zwei oder mehr dieser Kriterien, ist die DSFA verpflichtend. Erfüllt sie nur eines, ist sie empfohlen.
Methodik Schritt für Schritt
Schritt 1: Beschreibung der Verarbeitung
Dokumentieren Sie detailliert, welche Daten verarbeitet werden, von wem, zu welchem Zweck, auf welcher Rechtsgrundlage, wie sie erhoben, gespeichert und verarbeitet werden, wer Zugriff hat, ob sie an Dritte oder ausserhalb der EU übermittelt werden, wie lange sie gespeichert werden und welche Technologien zum Einsatz kommen.
Schritt 2: Notwendigkeits- und Verhältnismäßigkeitsprüfung
Bewerten Sie, ob die Verarbeitung für den verfolgten Zweck erforderlich ist (könnten dieselben Ergebnisse mit weniger Daten oder weniger eingreifender Verarbeitung erreicht werden?) und ob sie in angemessenem Verhältnis zur Auswirkung auf die Rechte der Betroffenen steht.
Schritt 3: Risikobewertung für Rechte und Freiheiten
Identifizieren Sie die spezifischen Risiken, die die Verarbeitung für die Betroffenen birgt. Typische Risiken sind Diskriminierung (wenn Daten für Entscheidungen über Personen genutzt werden), Identitätsdiebstahl (bei Datenpanne mit Identifikationsdaten), physischer oder materieller Schaden, Reputationsschaden (Verbreitung sensibler Daten), Verlust der Vertraulichkeit (unbefugter Zugriff auf sensible Daten) und Verlust der Kontrolle über eigene Daten (intransparente oder übermäßige Verarbeitung).
Bewerten Sie für jedes Risiko Eintrittswahrscheinlichkeit und Schadensschwere.
Schritt 4: Mitigationsmaßnahmen
Bestimmen Sie für jedes Risiko die Maßnahmen, die es auf ein akzeptables Niveau reduzieren. Maßnahmen können technisch (Verschlüsselung, Pseudonymisierung, Zugriffskontrolle, Monitoring), organisatorisch (Richtlinien, Schulung, Verfahren, Audits), rechtlich (Vertragsklauseln, verstärkte Einwilligung, zusätzliche Transparenz) oder gestalterisch (Datenminimierung, Zugriffsbeschränkung, früher Löschung) sein.
Schritt 5: Dokumentation und Prüfung
Dokumentieren Sie den gesamten Prozess und die Schlussfolgerungen in einem DSFA-Bericht. Bleibt das Restrisiko nach Maßnahmen hoch, müssen Sie vor Beginn der Verarbeitung die AEPD konsultieren (Vorab-Konsultation, Art. 36 DSGVO).
Das Tool Gestiona DSGVO der AEPD
Die AEPD hat das kostenlose Tool Gestiona DSGVO entwickelt, das den Nutzer im Prozess der Risikobewertung und Bestimmung der DSFA-Notwendigkeit führt. Das Tool stellt Fragen zur Verarbeitung, bewertet das Risikoniveau, gibt an, ob eine DSFA erforderlich ist, und führt durch deren Durchführung.
Es ist besonders nützlich für KMU ohne Vorerfahrung in Folgenabschätzungen, die einen strukturierten Ausgangspunkt suchen.
Bezug zu ISO 27001 und Risikomanagement
Die DSFA teilt viele Elemente mit der Risikoanalyse nach ISO 27001 und ISO 31000. Verfügt Ihr Unternehmen bereits über ein Informationssicherheits-Managementsystem nach ISO 27001, ist ein großer Teil der Risikoanalyse bereits geleistet. Der integrierte Ansatz ist am effizientesten: ein einziger Risikoanalyseprozess, der sowohl die Risiken für die Organisation (ISO 27001) als auch die für die Rechte der Betroffenen (DSGVO) abdeckt.
Müssen Sie eine Datenschutz-Folgenabschätzung durchführen? Sprechen wir. Ich begleite Sie durch den gesamten Prozess mit der passenden Methodik und praktischer Erfahrung zur Identifikation der Risiken und Definition wirksamer Mitigationsmaßnahmen.
Autor: Ángel Ortega Castro - unabhängiger Berater für Strategie, Qualität und Digitalisierung für KMU.
Häufig gestellte Fragen
Wie wirkt sich das auf mein KMU aus?
Es gilt, sobald Sie spanische Kunden bedienen oder spanische Daten verarbeiten; der Rahmen ist oberhalb der in der Tabelle zusammengefassten Schwellenwerte verbindlich.
Wie hoch sind die Kosten 2026?
Richtwerte für KMU mit 10-50 Mitarbeitenden: 2.500-12.000 EUR für die Dokumentation + Auditorenhonorare AENOR / BV / SGS / LRQA.
Welche spanische Regelung gilt?
Die BOE verweist auf RD 311/2022 (ENS), Verordnung EU 2016/679 (DSGVO), LOPDGDD, NIS2, DORA und EU AI Act 2024/1689 je nach Umfang.
Wie lange dauert die Implementierung?
Durchschnittlich 4-7 Monate pro ISO. Ein integriertes SGI (9001+14001+27001) dauert in der Regel 8-12 Monate.
Kann es über Kit Digital oder Kit Consulting kofinanziert werden?
Ja, Kit Consulting 2026 deckt bis zu 24.000 EUR Beratungsstunden ab; Kit Digital deckt Werkzeuge (CRM, ERP, Cybersicherheit) bis zu 29.000 EUR ab.
El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro