Schwellwertanalyse: Wann ist eine Datenschutz-Folgenabschätzung Pflicht?

Die Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO erforderlich, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten betroffener Personen zur Folge hat.

Ob eine DSFA nötig ist, sollte der Verantwortliche vorab mit einer Schwellwertanalyse klären. Dabei werden Kriterien aus der DSGVO und Leitlinien des Europäischen Datenschutzausschusses (EDSA) systematisch geprüft und dokumentiert.

Typische Auslöser

• Systematische und umfassende Bewertung persönlicher Aspekte (Profiling)
• Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
• Systematische Überwachung öffentlich zugänglicher Bereiche (z. B. Videoüberwachung)
• Neue Technologien mit erhöhtem Risiko für Betroffene

Ergeben die Kontrollfragen kein hohes Risiko, kann die Bewertung dokumentiert abgeschlossen werden. Andernfalls folgt die DSFA mit Analyse der Gewährleistungsziele und Maßnahmen zur Risikoreduktion — dokumentiert im DSFA-Bericht.

Datenschutzexperten der Expertgruppe unterstützen Unternehmen bei Checklisten, DSFA und der Einbindung in ein Informationssicherheits-Managementsystem. Lanexpert liefert die technische Seite — von Netzwerk und Servern bis zu Zugriffskonzepten.