Steuer- und Rechtsglosssar

Datenschutz-Folgenabschätzung (DSFA/DPIA)

Eine Datenschutz-Folgenabschätzung (DSFA) ist ein strukturierter Risikoanalyseprozess, der nach Artikel 35 DSGVO vor der Durchführung von Verarbeitungsvorgängen erforderlich ist, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen darstellen. Sie identifiziert die Art, den Umfang, den Kontext und die Zwecke der Verarbeitung, bewertet Notwendigkeit und Verhältnismäßigkeit, bewertet Risiken und bestimmt Maßnahmen zu deren Bewältigung.

digital

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung (DSFA) — auf Englisch Data Protection Impact Assessment (DPIA) — ist ein systematischer Prozess zur Bewertung und Minderung von Datenschutzrisiken, bevor neue oder erheblich geänderte Verarbeitungsvorgänge gestartet werden. Sie ist kein optionales Compliance-Tool — es handelt sich um eine gesetzliche Pflicht nach Artikel 35 DSGVO, wenn die Verarbeitung voraussichtlich ein hohes Risiko darstellt.

Wann ist eine DSFA verpflichtend?

Eine DSFA ist immer erforderlich für: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen mittels automatisierter Verarbeitung einschließlich Profilerstellung; umfangreiche Verarbeitung besonderer Datenkategorien; systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Unabhängig davon hat die AEPD eine spezifische Liste von Verarbeitungstätigkeiten veröffentlicht, die in Spanien immer eine DSFA erfordern.

Hauptelemente einer DSFA

Eine vollständige DSFA muss enthalten:

  1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge und ihrer Zwecke
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung
  3. Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
  4. Maßnahmen zur Bewältigung der Risiken, einschließlich Schutzmaßnahmen

Einbeziehung des Datenschutzbeauftragten

Der DSB muss bei der Durchführung einer DSFA konsultiert werden, sofern einer benannt wurde. Der DSB führt die DSFA nicht durch — das bleibt Verantwortung des Verantwortlichen — muss aber beraten und sein Rat muss dokumentiert werden.

Wann ist eine Vorabkonsultation der AEPD erforderlich?

Wenn nach Umsetzung aller Minderungsmaßnahmen noch hohe Restrisiken verbleiben, muss der Verantwortliche die AEPD vor Beginn der Verarbeitung konsultieren.

Wie BMC helfen kann

Wir führen Datenschutz-Folgenabschätzungen für spanische und auslandsgeführte Unternehmen durch: von der Identifizierung DSFA-pflichtiger Verarbeitungen über die Durchführung der Risikoanalyse bis zur Erstellung vollständiger DSFA-Dokumentation und der Unterstützung bei der Konsultation der AEPD bei verbleibenden Hochrisiko-Verarbeitungen.

Zurück zum Glossar

bm.consulting

¿Necesitas aplicar esto a tu caso concreto?

La teoría está clara. El paso a seguir también puede estarlo. Hablemos.

Kostenlose Beratung Alle Dienste ansehen
AEAT Colaborador Social 4.9/5 bei Google · 47 Bewertungen 30+ Nationalitäten betreut
E-Mail
Kontakt

Häufig gestellte Fragen

Wann ist eine DSFA nach der DSGVO in Spanien verpflichtend?
Eine DSFA ist verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt. Artikel 35 Abs. 3 DSGVO verlangt immer eine DSFA für systematische automatisierte Profilerstellung mit erheblichen rechtlichen Auswirkungen, umfangreiche Verarbeitung besonderer Datenkategorien und systematische Überwachung öffentlich zugänglicher Bereiche. Die AEPD hat eine zusätzliche Liste von Verarbeitungsarten veröffentlicht, die in Spanien immer eine DSFA erfordern.
Welche Verarbeitungstätigkeiten erachtet die AEPD als immer DSFA-pflichtig in Spanien?
Die AEPD-Liste für verpflichtende DSFA umfasst: Geolokalisierungsverfolgung von Personen, Überwachung der Produktivität und des Verhaltens von Mitarbeitern, Zusammenführung von Daten aus mehreren Quellen zur Erstellung individueller Profile, Verarbeitung von Gesundheits- oder genetischen Daten für Nicht-Gesundheitszwecke, KI-Systeme mit automatisierten Entscheidungen mit erheblichen Auswirkungen, biometrische Identifizierungssysteme und umfangreiche Verarbeitung von Daten schutzbedürftiger Personen.
Welche Rolle muss der Datenschutzbeauftragte (DSB) bei einer DSFA spielen?
Artikel 35 Abs. 2 DSGVO verlangt, dass dort, wo ein DSB benannt wurde, dessen Rat bei der Durchführung einer DSFA eingeholt werden muss. Der DSB führt die DSFA nicht durch — das bleibt Verantwortung des Verantwortlichen — muss aber konsultiert werden und sein Rat sowie die Reaktion des Verantwortlichen müssen als Teil des DSFA-Protokolls dokumentiert werden.
Wann muss ein spanisches Unternehmen die AEPD vor dem Start einer neuen Datenverarbeitung konsultieren?
Wenn eine DSFA zu dem Schluss kommt, dass nach Umsetzung aller machbaren Minderungsmaßnahmen noch hohe Restrisiken bestehen, muss der Verantwortliche vor Beginn der Verarbeitung eine vorherige Konsultation mit der AEPD durchführen (Artikel 36 DSGVO). Die AEPD hat bis zu 8 Wochen Zeit, schriftliche Beratung zu geben, verlängerbar um 6 Wochen in komplexen Fällen.
Wie interagiert das EU-KI-Gesetz mit den DSFA-Anforderungen für KI-Systeme?
Unternehmen, die KI-Systeme einsetzen, die personenbezogene Daten verarbeiten, müssen typischerweise sowohl eine DSFA nach DSGVO als auch eine Konformitätsbewertung nach dem KI-Gesetz durchführen. Das EU-KI-Gesetz führt eigene Anforderungen an die Grundrechts-Folgenabschätzung für Hochrisiko-KI-Systeme ein, die sich teilweise mit DSFA-Pflichten überschneiden.

Verwandte Branchen

Technologie & Startups Landwirtschaft, Landwirtschaftsbetriebe & Fischerei

Verwandte Artikel

Mai 2025

Was tun bei einer Inspektion der AEPD?

Apr. 2026

Datenschutz für Unternehmen in Spanien: DSGVO und LOPDGDD 2026

Juni 2025

Wann ist die Benennung eines externen DPO Pflicht?

Juli 2025

37,5-Stunden-Woche: Praktische Auswirkungen

März 2026

KI-Gesetz: Pflichten für Hochrisikosysteme