Datenschutz-Folgenabschätzung
Wir beraten Unternehmen, Behörden und sonstige Verantwortliche bei der Erstellung von Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO. Unsere Unterstützung umfasst die Prüfung der DSFA-Pflicht, die Durchführung der Schwellwertanalyse, die strukturierte Beschreibung des Verarbeitungsvorgangs, die Bewertung von Notwendigkeit und Verhältnismäßigkeit, die Risikoanalyse sowie die Entwicklung und Dokumentation geeigneter technischer und organisatorischer Maßnahmen.
Dabei begleiten wir den gesamten Prozess von der ersten Projektidee bis zur belastbaren Abschlussdokumentation und, falls erforderlich, bis zur Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO. So schaffen wir für unsere Mandanten eine tragfähige Grundlage für datenschutzkonforme Entscheidungen, interne Freigaben und eine belastbare Rechenschaft gegenüber Aufsichtsbehörden und Geschäftspartnern.
Beratung zur DSFA
Die Erstellung einer Datenschutz-Folgenabschätzung ist für viele Unternehmen und öffentliche Stellen keine bloße Formalität, sondern ein zentraler Baustein rechtskonformer und belastbarer Datenschutz-Compliance. Immer dann, wenn neue oder besonders eingriffsintensive Verarbeitungsvorgänge geplant sind, muss frühzeitig geprüft werden, ob ein hohes Risiko für betroffene Personen besteht und ob deshalb eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist.
Wir beraten Sie umfassend bei der rechtlichen und praktischen Erstellung Ihrer Datenschutz-Folgenabschätzung. Ziel unserer Beratung ist es, Risiken nicht nur abstrakt zu benennen, sondern den geplanten Verarbeitungsvorgang strukturiert zu erfassen, rechtlich einzuordnen, die tatsächlichen Gefahren für Betroffene zu bewerten und belastbare Maßnahmen zur Risikominderung zu entwickeln.
Wann eine DSFA nötig ist
Eine DSFA ist insbesondere dann zu prüfen, wenn Verarbeitungsvorgänge aufgrund ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke voraussichtlich ein hohes Risiko zur Folge haben. Typische gesetzlich genannte Fallgruppen sind die systematische und umfassende Bewertung persönlicher Aspekte durch automatisierte Verarbeitung einschließlich Profiling, die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten sowie die systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Auch außerhalb dieser ausdrücklich genannten Regelbeispiele kann eine Pflicht zur DSFA bestehen. Die Datenschutzkonferenz weist darauf hin, dass die Entscheidung über die Durchführung oder Nichtdurchführung einer DSFA auf einer dokumentierten Risikobewertung beruhen muss und in jedem Fall schriftlich festzuhalten ist.
Inhalt unserer Beratung
Unsere anwaltliche Beratung beginnt regelmäßig mit einer belastbaren Schwellwertanalyse. Dabei prüfen wir, ob für den konkreten Verarbeitungsvorgang tatsächlich eine DSFA-Pflicht besteht, grenzen den relevanten Verarbeitungsvorgang sauber ab und helfen dabei, Datenflüsse, Systeme, Zwecke, Beteiligte und Rollen nachvollziehbar zu dokumentieren.
Im nächsten Schritt unterstützen wir bei der inhaltlichen Ausgestaltung der DSFA. Nach Art. 35 Abs. 7 DSGVO muss die Folgenabschätzung insbesondere eine systematische Beschreibung der geplanten Verarbeitung und ihrer Zwecke, eine Bewertung von Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen sowie die vorgesehenen Abhilfemaßnahmen enthalten.
Wir begleiten Sie dabei, diese Anforderungen rechtssicher und zugleich praxistauglich umzusetzen. Dazu gehören insbesondere die Prüfung der einschlägigen Rechtsgrundlagen, die Bewertung datenschutzrechtlicher Risiken, die Entwicklung geeigneter technischer und organisatorischer Maßnahmen sowie die Dokumentation verbleibender Restrisiken.
Unser Beratungsansatz
Eine wirksame Datenschutz-Folgenabschätzung ist interdisziplinär angelegt. Die DSK empfiehlt ausdrücklich ein Vorgehen, das Datenschutz, Risikoermittlung und Fachprozesse zusammenführt sowie den Datenschutzbeauftragten während des gesamten Prozesses beratend einbezieht.
Genau hier setzt unsere Beratung an: Wir übersetzen komplexe rechtliche Anforderungen in einen klaren, umsetzbaren Prüfungs- und Dokumentationsprozess. Wir moderieren die Zusammenarbeit zwischen Fachabteilung, IT, Informationssicherheit, Datenschutzbeauftragten, Management und gegebenenfalls externen Dienstleistern, damit aus einer abstrakten Pflicht ein belastbares und prüffähiges Ergebnis wird.
Typische Beratungssachverhalte
Beratungsbedarf besteht besonders häufig bei neuen digitalen Geschäftsmodellen, KI-gestützten Anwendungen, Hinweisgebersystemen, HR-Tools, Videoüberwachung, sensiblen Gesundheitsdaten, Scoring- oder Profiling-Verfahren sowie konzernweiten oder cloudbasierten Verarbeitungslösungen. Gerade bei technologisch geprägten Projekten verlangt die DSFA eine frühzeitige Auseinandersetzung mit Zweckbindung, Datenminimierung, Zugriffskonzepten, Speicherfristen, Transparenz und den Schutzmaßnahmen für Betroffene.
Wir beraten sowohl vor Einführung neuer Prozesse als auch bei der Überprüfung bestehender Verfahren. Die DSK betont, dass eine DSFA kein einmaliger Vorgang ist, sondern überprüft und angepasst werden muss, wenn sich Risiken, Verfahren oder Rahmenbedingungen wesentlich ändern.
Mehrwert für Mandanten
Eine sorgfältig erstellte Datenschutz-Folgenabschätzung erfüllt nicht nur eine gesetzliche Pflicht, sondern verbessert zugleich die Governance eines Verarbeitungsvorgangs. Sie hilft, Risiken frühzeitig zu erkennen, ungeeignete Prozessgestaltungen rechtzeitig zu korrigieren, Verantwortlichkeiten sauber festzulegen und die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachvollziehbar zu erfüllen.
Unsere Beratung ist darauf ausgerichtet, rechtliche Anforderungen mit operativer Umsetzbarkeit zu verbinden. Sie erhalten keine schematische Musterlösung, sondern eine auf Ihren konkreten Verarbeitungsvorgang zugeschnittene rechtliche Bewertung mit belastbarer Dokumentation, klaren Handlungsempfehlungen und einem strukturierten Maßnahmenbild für interne Freigaben, Audits oder Prüfungen durch Aufsichtsbehörden.
Unterstützung bei Restrisiken
Ergibt die Datenschutz-Folgenabschätzung, dass trotz geplanter Abhilfemaßnahmen weiterhin ein hohes Restrisiko verbleibt, ist nach Art. 36 DSGVO eine Konsultation der zuständigen Aufsichtsbehörde erforderlich. Die DSK weist darauf hin, dass in diesem Fall die Aufsichtsbehörde Empfehlungen aussprechen oder ihre gesetzlichen Befugnisse ausüben kann.
Auch in dieser Phase stehen wir an Ihrer Seite. Wir unterstützen bei der rechtlichen Einordnung des Restrisikos, bei der Vorbereitung der Unterlagen für die Konsultation und bei der Kommunikation mit der Aufsichtsbehörde.
