DSFA (Datenschutz-Folgenabschätzung)

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist zwingend durchzuführen, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen birgt, etwa bei der Verarbeitung besonderer Datenkategorien, systematischer Videoüberwachung oder Profiling im großen Maßstab. Die DSFA dokumentiert Art, Umfang und Zweck der Verarbeitung, bewertet Risiken und legt Maßnahmen zu ihrer Eindämmung fest; der Datenschutzbeauftragte ist einzubeziehen. In IT-Beschaffungen für Systeme mit signifikanter Datenverarbeitung (HR-Systeme, Gesundheitsdaten, Sicherheitssysteme) ist vom Auftraggeber eine DSFA durchzuführen, bevor der Auftrag erteilt wird.